Datenschutz und Informationssicherheit ist kein Sprint oder ein einmaliges Projekt – sondern sollte zu einem Prozess werden mit der Aufgabe für das Management diesen stetig zu verbessern.
Herausforderungen #1
Im Alltag gibt es keine oder (zu) wenig Zeit, um sich diesen wichtigen Themen zu widmen. Es wird daher dauerhaft aufgeschoben, was etliche Risiken birgt.
Herausforderungen #2
Herausforderungen #3
Compliance
Ausgangslage
Compliance bedeutet Rechtstreue und beschreibt die Einhaltung aller gesetzlichen Bestimmungen sowie interner Richtlinien durch Unternehmen und ihre Mitarbeiter. Verstöße gegen Compliance Vorschriften können weitreichende Auswirkungen haben.
Neben Geldstrafen oder Schadensersatzklagen kann ein massiver Reputationsverlust für das Unternehmen die Folge sein. Verantwortlichen Personen im Unternehmen drohen bei Vergehen Freiheits- oder Geldstrafen oder arbeitsrechtliche Konsequenzen bis hin zur Kündigung.
Das Hinweisgeberschutzgesetz hat das Ziel:
- die hinweisgebenden Personen zu schützen.
Haben sie mehr als 50 Mitarbeiter im Unternehmen?
Dann benötigen sie eine Meldestelle!
Aber sehen sie Compliance Aufgaben nicht nur als Pflicht, sondern als eine Chance!
Sie haben die Chance Risiken von Unternehmen abzuwenden.
Sie haben die Chance über Missstände informiert zu werden bevor diese auf anderen Wegen an die Öffentlichkeit gelangen.
Was ist zu tun?
Sie müssen nur entscheiden, ob sie die Meldestelle intern (durch Bereitstellung von Ressourcen und Aufbau von Wissen) oder extern umsetzen wollen.
Ich unterstütze sie als externe Vertrauensperson bei:
- der Erstellung von Richtlinien
- der Schulung der Mitarbeiter
- der Definition der Meldeprozesse
- der Einrichtung einer Meldestelle
- der Bearbeitung der Meldungen
- der Sicherstellung der Vertraulichkeit
Kontaktieren sie mich gerne per Telefon / Mail für ein unverbindliches Angebot und testen sie das Hinweisgebertool gerne schon einmal aus.
DSB
Ausgangslage:
Wann muss ein Datenschutzbeauftragter benannt werden?
Wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht,
- welche aufgrund ihrer Art,
- ihres Umfangs und/oder
- ihrer Zwecke
- eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art 9 DSGVO besteht.
(s. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten) Das Bundesdatenschutzgesetz ergänzt die Anforderungen im § 38 BDSG:
- Der Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
- Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung (DSFA) nach unterliegen,
- oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
- der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Aufgaben des Datenschutzbeauftragten
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
- Überwachung der Einhaltung der DSGVO
- Überwachung der Strategien des Verantwortlichen für den Schutz personenbezogener Daten
- Schulung der Mitarbeiter
- Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung (DSFA)
- Überwachung der Durchführung einer DSFA
- Zusammenarbeit mit der Aufsichtsbehörde
Das bedeutet u.a.: wenn eine Videoüberwachung installiert ist, dann ist eine Datenschutzfolgenabschätzung genauso zwingend erforderlich wie die Benennung eines Datenschutzbeauftragten.
- Vorteil für kleinere Unternehmen (unter 20 Mitarbeiter)? Nein, denn an die Gesetze müssen sie sich trotzdem halten.
- Tipp: Warten sie nicht, bis sie 20 oder mehr Mitarbeiter haben und sie einen Datenschutzbeauftragten benennen müssen. Fangen sie früh(er) an. Errichten sie ihr Unternehmen gleich auf einem soliden Fundament.
Angebot:
Ich stehe Ihnen mit sehr gerne als Berater in Datenschutzfragen, Auditor oder externer Datenschutzbeauftragter zur Verfügung. Mein Angebot wird auf die Kundenbedürfnisse angepasst und nicht umgekehrt. In einem kostenlosen und unverbindlichen „Kennenlern-Meeting“ werden die Möglichkeiten einer Zusammenarbeit besprochen. Ich gebe dabei die Richtung vor, aber die Geschwindigkeit der Umsetzung liegt beim Kunden.
ISB
Problem / Ausgangslage:
Informationssicherheit wird häufig vernachlässigt, sodass sie hinter dem Tagesgeschäft zurückfällt.
Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem „Problem anderer Leute“ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt.
Um dies zu vermeiden, sollte ein Hauptansprechpartner für alle Aspekte rund um die Informationssicherheit, ein Informationssicherheitsbeauftragter oder kurz ISB, ernannt werden, der die Aufgabe „Informationssicherheit“ koordiniert und innerhalb der Institution vorantreibt.
Ob es neben einem solchen weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab.
Umsetzung:
Es ist empfehlenswert, die Position des Informationssicherheitsbeauftragten direkt der obersten Leitungsebene zuzuordnen. Es ist davon abzuraten, den Sicherheitsbeauftragten in der IT-Abteilung zu verorten, da es hierbei zu Rollenkonflikten kommen kann.
Um einen Sicherheitsprozess erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden.
Es müssen also Rollen definiert sein, die die verschie¬denen Aufgaben im Hinblick auf das Erreichen der Informationssicherheitsziele wahrnehmen müssen. Zudem müssen Personen benannt sein, die qualifiziert sind und denen im ausreichenden Maße Res¬sourcen zur Verfügung stehen, um diese Rollen ausfüllen zu können.
Zuständigkeiten und Aufgaben des ISB:
Der Informationssicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Infor¬mationssicherheit innerhalb der Institution. Die Hauptaufgabe des ISB besteht darin, die Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicher¬heit zu beraten und diese bei der Umsetzung zu unterstützen.
Seine Aufgaben umfassen unter anderem:
- den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufga¬ben mitzuwirken,
- die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
- die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
- die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
- der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- Sicherheitsvorfälle zu untersuchen,
- Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordi¬nieren.
Der ISB ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informations¬verarbeitung haben könnten, zu beteiligen, um die Beachtung von Sicherheitsaspekten in den ver¬schiedenen Projektphasen zu gewährleisten. So sollte der ISB bei der Planung und Einführung neuer Anwendungen und IT-Systeme ebenso beteiligt sein wie bei neuen ICS-Komponenten oder wesent¬lichen Änderungen der Infrastruktur.
Angebot:
Ich stehe Ihnen mit meiner Expertise sehr gerne für die Rolle als ISB oder als externer Berater in ihrem Unternehmen zur Verfügung.
Vor Zusammenarbeit wird in einem „Kennenlern-Meeting“ die strategischen und taktischen Ziele sowie Organisation als auch Zeit und Budget besprochen, damit ein für sie passendes Angebot erstellt werden kann.
ISMS
Ausgangslage:
Die VdS-Richtlinien 10000 enthalten konkrete Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
Sie sind speziell auf KMU zugeschnittene Mindestanforderungen an die Informationssicherheit.
Sie bieten genau das Schutzniveau, das kleine und mittlere Unternehmen benötigen, ohne sie finanziell oder organisatorisch zu überfordern.
Die VdS 10000 Richtlinie bilden eine gute Basis oder Etappenziel auf dem Weg zu weiteren Zielen wie den BSI IT-Grundschutz oder die ISO 27001.
ISO/IEC 27001 ist die anerkannteste internationale Norm für Informationssicherheits-Managementsysteme.
Sie legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) fest.
Wofür ist eine ISO 27001 Zertifizierung sinnvoll?
- Einhaltung von Anforderungen (geschäftlich, rechtlich, vertraglich, regulatorisch)
- Vermeidung von Datenschutzverstößen und Bußgeldern
- Kontinuierliche Informationssicherheit im Unternehmen verankern
- Für die Gewinnung neuer Kunden, z.B. wenn der Auftraggeber eine ISO 27001 Zertifizierung verlangt
- Image, Verbessern sie ihren Ruf
- ständige Überprüfen ihrer Sicherheitsmaßnahmen
- Reduzierung der Haftungsrisiken der Geschäftsführung
Umsetzung:
Schon vor der Entscheidung des Managements für ein Aufbau eines ISMS kann ich sie auf dem Weg zu einer erfolgreichen Zertifizierung unterstützen.
Wichtig dabei sind 2 Dinge
- Die Geschäftsführung muss 100% hinter dem Projekt stehen und
- Die erforderlichen Ressourcen zur Verfügung stellen.
Angebot:
Mit einer Zertifizierung nach ISO 27001 können Sie die Wirksamkeit Ihres Informationssicherheitsmanagementsystems (ISMS) nachweisen. Dieser Standard definiert die Anforderungen, die an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS gestellt werden.
Ich biete folgende Unterstützung an:
- Unterstützung beim Aufbau eines ISMS
- Begleitung bei der Umsetzung von ISO 27001
- Durchführung eines internen Audits
- Hilfe bei externen und Zertifizierungsaudits
- Unterstützung bei der Erstellung und Umsetzung von Richtlinien
- Begleitung bis zum Erreichen der Zertifizierungsreife
- Optional auch als Informationssicherheitsbeauftragter
In der Regel werden 12 bis 18 Monate benötigt, um ein ISMS aufzubauen und dieses zertifizieren zu lassen. Wie ich sie dabei möglichst effizient unterstützen kann, besprechen wir gemeinsam vorab in einem für sie kostenlosen und unverbindlichen „Kennenlern-Meeting“.
NIS-2
Herausforderung oder Chance?
Die NIS2-Richtlinie stellt eine große Herausforderung, aber auch eine Chance für Unternehmen dar, ihre Cybersicherheitsmaßnahmen zu stärken und das Vertrauen ihrer Kunden und Partner zu festigen.
Die NIS-2 Richtlinie gilt nicht nur für kritische Infrastruktur, sondern schon für Unternehmen ab 50 Mitarbeiter oder einem Umsatz ab 10 Mio. €.
Allgemeine Anforderungen der NIS-2-Richtlinie:
- Risikobewertung
- Sicherheitsrichtlinien und -verfahren
- Schulungen und Bewusstseinsbildung
- Notfallpläne und Notfallmaßnahmen
- Mobile Device Management (MDM):
- Sicherheitsüberwachung (Penetration-Tests)
- Incident Reporting
- Meldeverfahren
- Sicherheit in der Lieferkette
- BCM
- Verschlüsselung
- Dokumentation und Nachweis
Sicherheitskultur fördern: Eine Sicherheitskultur im Unternehmen zu etablieren, in der Sicherheit eine zentrale Rolle spielt, ist von entscheidender Bedeutung.
Die Unternehmensleitung haftet mit ihrem Privatvermögen für die Einhaltung der Risikomanagementmaßnahmen.
#1 Analyse
Ich ermittele den konkreten Bedarf Ihres Unternehmens.
#2 Konzeption
#3 Betreuung
Datenschutz und IT Sicherheit sind zwar unterschiedliche Dinge – sollten aber nicht getrennt werden.
Dirk Borbe
Inhaber
Telefon
+49 162 58 17 253
E-Mail-Adresse
info@dundc.org
Mit Dirk arbeiten wir auf vertrauensvolle und transparente Art zusammen. Dirk verstärkt unser Team und bereichert uns durch sein breit aufgestelltes Wissen, aber auch die Fähigkeit zuhören zu können.
Franz Obermayer
FOXGROUP
Dirk hat bei uns das Thema Datenschutz sehr gut implementiert. Alle anfänglichen Abneigungen zu diesem Thema und auch durch der Druck von aussen wurde uns durch seine ruhige, verständnisvolle und kompetente Art genommen. Nun haben wir eine Basis, auf der wir weiter arbeiten und aufbauen können. Die Zusammenarbeit können wir empfehlen.
Nicole Scheich
Orgahead Consulting & Trading GmbH
Absolut empfehlenswert! Dirk übertraf alle Erwartungen mit seiner professionellen Arbeitsethik und exzellenten Ergebnissen.
all-connect GmbH, München
Die Einhaltung gesetzlicher Vorgaben nimmt Zeit und Manpower in Anspruch. Als externer DSB / ISB für Hamburg und die norddeutsche Region nehme ich Ihnen diese Mühen ab und bringe Know-how in Ihr Unternehmen.
Wussten sie, dass grundsätzlich möglich ist und sich besonders bei Unternehmen bis 50 Mitarbeitern empfiehlt, die Aufgaben aus Datenschutz und der Informationssicherheit durch eine Person in Personalunion erledigen zu lassen?
Mit meinem ganzheitlichen Ansatz meiner Beratung decke ich diese Anforderungen umfassend und professionell ab:
Datenschutz für Ihr Startup
Echte Informationssicherheit gewinnen
Keine Angst vor Bußgeldern
Leistungen kombinieren
Egal, ob als ihr DSB, ISB als Unterstützung beim Aufbau eines ISMS oder den Anforderungen aus NIS-2 kenne ich die enge Verzahnung vieler Anforderungen.
Mit mir vertrauen Sie auf einen einzelnen Ansprechpartner, um Lösungen im Bereich Compliance, Datenschutz und Informationssicherheit sowie die Einhaltung branchenrelevanter Normen zu finden.
Bereits in unserem Erstgespräch klären wir gemeinsam ab, welches Leistungsspektrum für Ihr Unternehmen interessant und relevant ist. Da die IT-Sicherheit nicht auf bestimmte Bereiche beschränkt ist, bin ich als „Digitaler Ersthelfer“ auch Mitglied im Cyber-Sicherheitsnetzwerk CSN. Das CSN ist ein freiwilliger Zusammenschluss von qualifizierten Experten für eine IT-Vorfallsbearbeitung.
Die Experten stellen ihre individuelle Expertise und ihr individuelles Knowhow zur Behebung von IT-Sicherheitsvorfällen zur Verfügung. Wir helfen damit die IT-Sicherheitslage in Deutschland zu verbessern. An das Cyber-Sicherheitsnetzwerk können sich sowohl Unternehmen als auch Privatleute, die von einem IT-Sicherheitsvorfall betroffen sind, wenden. Dabei steht die Digitale Rettungskette im Mittelpunkt der reaktiven Unterstützungsleistung.
Über die kostenfreie Hotline Nummer 0800-274 1000 können sich Betroffene bei der Kontaktstelle des CSN melden und werden an das entsprechende Glied der Digitalen Rettungskette vermittelt.
Transparente Verträge
Mein Dienstleistungsvertrag als Datenschutzbeauftragter fasst alle vereinbarten Leistungen detailliert zusammen. So gewinnen beide Seiten sachliche und rechtliche Sicherheit, welche Kompetenzen in meinen Aufgabenbereich fallen.
Sollten Sie meinen Dienstleistungsvertrag als Datenschutzbeauftragter mit der Zeit anpassen wollen, stellt dies selbstverständlich kein Problem dar. Schließlich kann sich die rechtliche Situation für Ihre Branche oder Firma verändern.
Fortwährender Service
Themen wie Datenschutz und Compliance werden in Zukunft noch mehr an Bedeutung gewinnen. Ich verstehe mich deshalb nicht als Partner für die einmalige Optimierung Ihrer betrieblichen Situation.
Gerne begleite ich Sie beim Thema Datenschutz vom Startup bis zum wachsenden Unternehmen, stets mit einer direkten Anpassung der jeweils gültigen Grundlagen und rechtlichen Rahmenwerte. Zögern Sie nie, bei Fragen zu datenschutzrelevanten Themen auf mich als externen DSB direkt zuzukommen.