Für viele kleine und mittelständische Unternehmen ist die Einhaltung der Datenschutzrichtlinien eine große Hürde. Oft rechnet es sich nicht, einen Datenschutzbeauftragten anzustellen und so übernehmen nicht selten Mitarbeiter diese Aufgabe, zusätzlich zu Ihrer eigentlichen Tätigkeit. Es stellt sich die Frage – wozu der ganze „Zirkus“? Warum müssen Unternehmen mit einer Mitarbeiterzahl von zehn Beschäftigten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, die Richtlinien einhalten, wie es das Bundesdatenschutzgesetz (BDSG) seit August 2006 verlangt?
Zwar wird die Gesetzgebung immer schärfer und die Kontrollmöglichkeiten personenbezogener Daten immer vielfältiger, dennoch fehlt in der Bevölkerung und in den Unternehmen das Bewusstsein für die Notwendigkeit von Datenschutz. Was passieren kann, wenn die Datenschutzrichtlinien nicht eingehalten werden, formuliert Dipl. Ing. Reinhard Reichl, Inhaber des Ingenieurbüros für Informationssicherheit, Datenschutz, Technologie und Management (IDTM) sowie zertifizierter Datenschutzauditor wie folgt: „Von einem nicht mehr auszuhaltenden Anstieg der SPAM-Mails, über den Erhalt von täuschend echten Rechnungen, bis hin zu Einbrüchen, weil die Videoüberwachung missachtet wurde und dem Diebstahl von Daten und Identitäten, ist alles drin. Meist werden sich die Verantwortlichen des Risikos erst richtig bewusst, wenn es einen derartigen Vorfall gegeben hat und die Schmerzgrenze überschritten wurde.“
Nach dem BDSG sind Unternehmen, Freiberufler und Einrichtungen wie z.B. Kliniken, die Umgang mit personenbezogenen Daten haben gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Aufgabe eines Datenschutzbeauftragten verlangt fundiertes Fachwissen und ausreichend Erfahrung. Sie beinhaltet u.a. die Erstellung eines Verfahrensverzeichnis, die Einhaltung der Meldepflicht, die Kennzeichnungspflicht von z.B. Videoanlagen sowie die regelmäßige Information der Mitarbeiter. Ein Datenschutzbeauftragter muss über notwendige Qualifikationen verfügen und regelmäßig Fortbildungen besuchen.
Umsetzung der Datenschutzrichtlinien - Unterstützung der Verantwortlichen
„Zunächst einmal muss gesagt werden, dass die meisten Unternehmen die Datenschutzrichtlinien ernst nehmen und sich ihrer Aufgabe sehr bewusst sind. Die Einhaltung und Umsetzung dieser Anforderung allerdings ist der Punkt, der vielen Unternehmen zu schaffen macht“, so Dipl. Ing. Reinhard Reichl. „Als externer Datenschutzbeauftragter liefern wir die notwendige Kompetenz und Erfahrung und unterstützen die verantwortlichen Mitarbeiter in den Unternehmen. Wir kümmern uns um die Einhaltung der Fristen und Richtlinien und sorgen dafür, dass die Verantwortlichen wieder für die eigentlich wichtigen Aufgaben in ihren Firmen zur Verfügung stehen.“
Vertrauen ist bei der Zusammenarbeit mit einem externen Datenschutzbeauftragten das wichtigste Kriterium. „Wir müssen uns zu hundert Prozent auf den Datenschutzbeauftragten verlassen können“, sagt Rolf Lorenz Geschäftsführer der Spedition Schmidt-Gevelsberg. Besteht eine vertrauensvolle Zusammenarbeit, ist dies jedoch für das Unternehmen ein großer Gewinn. Mit einem kompetenten Datenschutzbeauftragten kann noch mehr erreicht werden als der Schutz personenbezogener Informationen. Die Aufgabe bringt den Verantwortlichen für die Datensicherheit in Kontakt mit allen Abteilungen. Aufgrund der Kenntnisse über die einzelnen Bereiche und seiner Erfahrung, kann der Datenschutzbeauftragte diese Informationen verknüpfen und so die Schwachstellen in der IT-Sicherheit eines Unternehmens aufdecken sowie sich für deren Behebung einsetzen. Beispielweise erfährt der Datenschutzbeauftragte im Gespräch mit der Lohnbuchhaltung, das hier regelmäßig Daten von Mitarbeitern für die Gehaltsabrechung über den PC aufgerufen werden. Gehen die Kollegen in die Mittagspause, sperren sie ihre Computer nicht. Somit ist es ein Leichtes, die Daten widerrechtlich abzulesen, weiterzuleiten oder auf einen USB-Stick zu speichern. Im Gespräch wird den Mitarbeitern klar, welches Risiko sie eingegangen sind. Durch das neue Bewusstsein für die Gefahr, wird sich ihr Verhalten ändern. Fazit – die Daten sind zukünftig besser geschützt.
Bewusstsein für den Datenschutz schafft eine solide Basis - Web Based Training (WBT) mit dem Programm „Awareness Training IT-Sicherheit“, ausgezeichnet mit dem IT-Sicherheitspreis NRW 2006
Sind die Mitarbeiter eines Unternehmens für die Umsetzung des Datenschutzes sensibilisiert und erkennen die Relevanz im Umgang mit personenbezogenen Daten, bedeutet das für das Unternehmen einen großen Schritt hin zu mehr Sicherheit generell und Datensicherheit im speziellen. Mit dem interaktiven Lernprogramms „Awareness Training IT-Sicherheit“, das das Ingenieurbüro für Informationssicherheit, Datenschutz, Technologie und Management (IDTM) entwickelt hat, steht die spielerische Vermittlung von fundiertem Hintergrundwissen im Vordergrund. Gefahrenquellen bei E-Mail, Surfen und Kennwörtern zu erkennen und zu vermeiden, ist ebenso Thema, wie die Möglichkeit das Risikopotential der Arbeitsmittel z.B. Laptop, Mobiltelefon und Fax zu verringern. IDTM wurde für die Idee und Entwicklung dieses Programms mit dem IT-Sicherheitspreis NRW 2006 auf dem „5. IT-Sicherheitstag NRW“ in Hagen ausgezeichnet.
Das Trainingskonzept wurde auf Basis des IT-Grundschutzhandbuchs (GSHB) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) in Bonn entwickelt. Es repräsentiert somit den aktuellen internationalen Standard für IT-Sicherheit. Damit ist eine ideale Basis für die Arbeit eines Datenschutzbeauftragten gelegt. Die Verantwortung, personenbezogene Daten zu sichern und gut geschützt zu verwahren, wird so für interne und externe Mitarbeiter des Unternehmens sichtbar und verständlich. Die Arbeit des Datenschutzbeauftragten wird deutlicher und bekommt in den Unternehmen einen neuen Stellenwert.
Weitere Informationen zum „Awareness Training IT-Sicherheit“ erhalten Sie unter http://www.idtm.de/... . Detaillierte Beschreibungen können Sie auch direkt unter reinhard.reichl@idtm.de anfordern.
IDTM auf der Cebit 2007 – am 15.03.2007, 15.00 – 15.30 Uhr beim Vortragsforum des Datenschutz und IT-Sicherheit Competence Center in Halle 7 - Erfahrungsbericht: Kosten-Nutzen von Zertifizierungen (ISO 27001 nach BSI)
Zwar wird die Gesetzgebung immer schärfer und die Kontrollmöglichkeiten personenbezogener Daten immer vielfältiger, dennoch fehlt in der Bevölkerung und in den Unternehmen das Bewusstsein für die Notwendigkeit von Datenschutz. Was passieren kann, wenn die Datenschutzrichtlinien nicht eingehalten werden, formuliert Dipl. Ing. Reinhard Reichl, Inhaber des Ingenieurbüros für Informationssicherheit, Datenschutz, Technologie und Management (IDTM) sowie zertifizierter Datenschutzauditor wie folgt: „Von einem nicht mehr auszuhaltenden Anstieg der SPAM-Mails, über den Erhalt von täuschend echten Rechnungen, bis hin zu Einbrüchen, weil die Videoüberwachung missachtet wurde und dem Diebstahl von Daten und Identitäten, ist alles drin. Meist werden sich die Verantwortlichen des Risikos erst richtig bewusst, wenn es einen derartigen Vorfall gegeben hat und die Schmerzgrenze überschritten wurde.“
Nach dem BDSG sind Unternehmen, Freiberufler und Einrichtungen wie z.B. Kliniken, die Umgang mit personenbezogenen Daten haben gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Die Aufgabe eines Datenschutzbeauftragten verlangt fundiertes Fachwissen und ausreichend Erfahrung. Sie beinhaltet u.a. die Erstellung eines Verfahrensverzeichnis, die Einhaltung der Meldepflicht, die Kennzeichnungspflicht von z.B. Videoanlagen sowie die regelmäßige Information der Mitarbeiter. Ein Datenschutzbeauftragter muss über notwendige Qualifikationen verfügen und regelmäßig Fortbildungen besuchen.
Umsetzung der Datenschutzrichtlinien - Unterstützung der Verantwortlichen
„Zunächst einmal muss gesagt werden, dass die meisten Unternehmen die Datenschutzrichtlinien ernst nehmen und sich ihrer Aufgabe sehr bewusst sind. Die Einhaltung und Umsetzung dieser Anforderung allerdings ist der Punkt, der vielen Unternehmen zu schaffen macht“, so Dipl. Ing. Reinhard Reichl. „Als externer Datenschutzbeauftragter liefern wir die notwendige Kompetenz und Erfahrung und unterstützen die verantwortlichen Mitarbeiter in den Unternehmen. Wir kümmern uns um die Einhaltung der Fristen und Richtlinien und sorgen dafür, dass die Verantwortlichen wieder für die eigentlich wichtigen Aufgaben in ihren Firmen zur Verfügung stehen.“
Vertrauen ist bei der Zusammenarbeit mit einem externen Datenschutzbeauftragten das wichtigste Kriterium. „Wir müssen uns zu hundert Prozent auf den Datenschutzbeauftragten verlassen können“, sagt Rolf Lorenz Geschäftsführer der Spedition Schmidt-Gevelsberg. Besteht eine vertrauensvolle Zusammenarbeit, ist dies jedoch für das Unternehmen ein großer Gewinn. Mit einem kompetenten Datenschutzbeauftragten kann noch mehr erreicht werden als der Schutz personenbezogener Informationen. Die Aufgabe bringt den Verantwortlichen für die Datensicherheit in Kontakt mit allen Abteilungen. Aufgrund der Kenntnisse über die einzelnen Bereiche und seiner Erfahrung, kann der Datenschutzbeauftragte diese Informationen verknüpfen und so die Schwachstellen in der IT-Sicherheit eines Unternehmens aufdecken sowie sich für deren Behebung einsetzen. Beispielweise erfährt der Datenschutzbeauftragte im Gespräch mit der Lohnbuchhaltung, das hier regelmäßig Daten von Mitarbeitern für die Gehaltsabrechung über den PC aufgerufen werden. Gehen die Kollegen in die Mittagspause, sperren sie ihre Computer nicht. Somit ist es ein Leichtes, die Daten widerrechtlich abzulesen, weiterzuleiten oder auf einen USB-Stick zu speichern. Im Gespräch wird den Mitarbeitern klar, welches Risiko sie eingegangen sind. Durch das neue Bewusstsein für die Gefahr, wird sich ihr Verhalten ändern. Fazit – die Daten sind zukünftig besser geschützt.
Bewusstsein für den Datenschutz schafft eine solide Basis - Web Based Training (WBT) mit dem Programm „Awareness Training IT-Sicherheit“, ausgezeichnet mit dem IT-Sicherheitspreis NRW 2006
Sind die Mitarbeiter eines Unternehmens für die Umsetzung des Datenschutzes sensibilisiert und erkennen die Relevanz im Umgang mit personenbezogenen Daten, bedeutet das für das Unternehmen einen großen Schritt hin zu mehr Sicherheit generell und Datensicherheit im speziellen. Mit dem interaktiven Lernprogramms „Awareness Training IT-Sicherheit“, das das Ingenieurbüro für Informationssicherheit, Datenschutz, Technologie und Management (IDTM) entwickelt hat, steht die spielerische Vermittlung von fundiertem Hintergrundwissen im Vordergrund. Gefahrenquellen bei E-Mail, Surfen und Kennwörtern zu erkennen und zu vermeiden, ist ebenso Thema, wie die Möglichkeit das Risikopotential der Arbeitsmittel z.B. Laptop, Mobiltelefon und Fax zu verringern. IDTM wurde für die Idee und Entwicklung dieses Programms mit dem IT-Sicherheitspreis NRW 2006 auf dem „5. IT-Sicherheitstag NRW“ in Hagen ausgezeichnet.
Das Trainingskonzept wurde auf Basis des IT-Grundschutzhandbuchs (GSHB) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) in Bonn entwickelt. Es repräsentiert somit den aktuellen internationalen Standard für IT-Sicherheit. Damit ist eine ideale Basis für die Arbeit eines Datenschutzbeauftragten gelegt. Die Verantwortung, personenbezogene Daten zu sichern und gut geschützt zu verwahren, wird so für interne und externe Mitarbeiter des Unternehmens sichtbar und verständlich. Die Arbeit des Datenschutzbeauftragten wird deutlicher und bekommt in den Unternehmen einen neuen Stellenwert.
Weitere Informationen zum „Awareness Training IT-Sicherheit“ erhalten Sie unter http://www.idtm.de/... . Detaillierte Beschreibungen können Sie auch direkt unter reinhard.reichl@idtm.de anfordern.
IDTM auf der Cebit 2007 – am 15.03.2007, 15.00 – 15.30 Uhr beim Vortragsforum des Datenschutz und IT-Sicherheit Competence Center in Halle 7 - Erfahrungsbericht: Kosten-Nutzen von Zertifizierungen (ISO 27001 nach BSI)
