Datenschutz und Informationssicherheit ist kein 100m Lauf oder ein einmaliges Projekt – sondern ein Prozess und Aufgabe des Managements dieses stetig zu verbessern.
Herausforderungen #1
Im Alltag gibt es keine oder (zu) wenig Zeit, um sich diesen wichtigen Themen zu widmen. Es wird daher dauerhaft aufgeschoben, was etliche Risiken birgt.
Herausforderungen #2
Das Wissen um deren Wichtigkeit ist zwar vorhanden, aber nicht wie es pragmatisch umgesetzt werden kann.
Herausforderungen #3
Das Problem: eigene Leute zu finden, auszubilden und sie ganz / teilweise abzustellen. Auch hierfür fehlen die Ressourcen.
Compliance
Ausgangslage
Compliance bedeutet Rechtstreue und beschreibt die Einhaltung aller gesetzlichen Bestimmungen sowie interner Richtlinien durch Unternehmen und ihre Mitarbeiter. Verstöße gegen Compliance Vorschriften können weitreichende Auswirkungen haben.
Neben Geldstrafen oder Schadensersatzklagen kann ein massiver Reputationsverlust für das Unternehmen die Folge sein. Verantwortlichen Personen im Unternehmen drohen bei Vergehen Freiheits- oder Geldstrafen oder arbeitsrechtliche Konsequenzen bis hin zur Kündigung.
Das Hinweisgeberschutzgesetz hat das Ziel:
- die hinweisgebenden Personen zu schützen.
Haben sie mehr als 50 Mitarbeiter im Unternehmen?
Dann benötigen sie eine Meldestelle!
Aber sehen sie Compliance Aufgaben nicht nur als Pflicht, sondern als eine Chance!
Sie haben die Chance Risiken von Unternehmen abzuwenden.
Sie haben die Chance über Missstände informiert zu werden bevor diese auf anderen Wegen an die Öffentlichkeit gelangen.
Was ist zu tun?
Sie müssen nur entscheiden, ob sie die Meldestelle intern (durch Bereitstellung von Ressourcen und Aufbau von Wissen) oder extern umsetzen wollen.
Ich unterstütze sie als externe Vertrauensperson bei:
- der Erstellung von Richtlinien
- der Schulung der Mitarbeiter
- der Definition der Meldeprozesse
- der Einrichtung einer Meldestelle
- der Bearbeitung der Meldungen
- der Sicherstellung der Vertraulichkeit
Kontaktieren sie mich gerne per Telefon / Mail für ein unverbindliches Angebot und testen sie das Hinweisgebertool gerne schon einmal aus.
DSB
Ausgangslage:
Wann muss ein Datenschutzbeauftragter benannt werden?
Wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht,
- welche aufgrund ihrer Art,
- ihres Umfangs und/oder
- ihrer Zwecke
- eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art 9 DSGVO besteht.
(s. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten) Das Bundesdatenschutzgesetz ergänzt die Anforderungen im § 38 BDSG:
- Der Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
- Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung (DSFA) nach unterliegen,
- oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
- der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Aufgaben des Datenschutzbeauftragten
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
- Überwachung der Einhaltung der DSGVO
- Überwachung der Strategien des Verantwortlichen für den Schutz personenbezogener Daten
- Schulung der Mitarbeiter
- Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung (DSFA)
- Überwachung der Durchführung einer DSFA
- Zusammenarbeit mit der Aufsichtsbehörde
Das bedeutet u.a.: wenn eine Videoüberwachung installiert ist, dann ist eine Datenschutzfolgenabschätzung genauso zwingend erforderlich wie die Benennung eines Datenschutzbeauftragten.
- Vorteil für kleinere Unternehmen (unter 20 Mitarbeiter)? Nein, denn an die Gesetze müssen sie sich trotzdem halten.
- Tipp: Warten sie nicht, bis sie 20 oder mehr Mitarbeiter haben und sie einen Datenschutzbeauftragten benennen müssen. Fangen sie früh(er) an. Errichten sie ihr Unternehmen gleich auf einem soliden Fundament.
Angebot:
Ich stehe Ihnen mit sehr gerne als Berater in Datenschutzfragen, Auditor oder externer Datenschutzbeauftragter zur Verfügung. Mein Angebot wird auf die Kundenbedürfnisse angepasst und nicht umgekehrt. In einem kostenlosen und unverbindlichen „Kennenlern-Meeting“ werden die Möglichkeiten einer Zusammenarbeit besprochen. Ich gebe dabei die Richtung vor, aber die Geschwindigkeit der Umsetzung liegt beim Kunden.
ISB
Problem / Ausgangslage:
Informationssicherheit wird häufig vernachlässigt, sodass sie hinter dem Tagesgeschäft zurückfällt.
Dadurch besteht bei unklarer Aufteilung der Zuständigkeiten die Gefahr, dass Informationssicherheit grundsätzlich zu einem „Problem anderer Leute“ wird. Damit wird die Verantwortung für Informationssicherheit so lange hin- und hergeschoben, bis keiner sie mehr zu haben glaubt.
Um dies zu vermeiden, sollte ein Hauptansprechpartner für alle Aspekte rund um die Informationssicherheit, ein Informationssicherheitsbeauftragter oder kurz ISB, ernannt werden, der die Aufgabe „Informationssicherheit“ koordiniert und innerhalb der Institution vorantreibt.
Ob es neben einem solchen weitere Personen mit Sicherheitsaufgaben gibt und wie die Informationssicherheit organisiert ist, hängt von der Art und Größe der Institution ab.
Umsetzung:
Es ist empfehlenswert, die Position des Informationssicherheitsbeauftragten direkt der obersten Leitungsebene zuzuordnen. Es ist davon abzuraten, den Sicherheitsbeauftragten in der IT-Abteilung zu verorten, da es hierbei zu Rollenkonflikten kommen kann.
Um einen Sicherheitsprozess erfolgreich planen, umsetzen und aufrechterhalten zu können, müssen die Verantwortlichkeiten klar definiert werden.
Es müssen also Rollen definiert sein, die die verschie¬denen Aufgaben im Hinblick auf das Erreichen der Informationssicherheitsziele wahrnehmen müssen. Zudem müssen Personen benannt sein, die qualifiziert sind und denen im ausreichenden Maße Res¬sourcen zur Verfügung stehen, um diese Rollen ausfüllen zu können.
Zuständigkeiten und Aufgaben des ISB:
Der Informationssicherheitsbeauftragte ist zuständig für die Wahrnehmung aller Belange der Infor¬mationssicherheit innerhalb der Institution. Die Hauptaufgabe des ISB besteht darin, die Unternehmensleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicher¬heit zu beraten und diese bei der Umsetzung zu unterstützen.
Seine Aufgaben umfassen unter anderem:
- den Informationssicherheitsprozess zu steuern und an allen damit zusammenhängenden Aufga¬ben mitzuwirken,
- die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
- die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
- die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
- der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicherheit zu berichten,
- sicherheitsrelevante Projekte zu koordinieren,
- Sicherheitsvorfälle zu untersuchen,
- Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordi¬nieren.
Der ISB ist außerdem bei allen größeren Projekten, die deutliche Auswirkungen auf die Informations¬verarbeitung haben könnten, zu beteiligen, um die Beachtung von Sicherheitsaspekten in den ver¬schiedenen Projektphasen zu gewährleisten. So sollte der ISB bei der Planung und Einführung neuer Anwendungen und IT-Systeme ebenso beteiligt sein wie bei neuen ICS-Komponenten oder wesent¬lichen Änderungen der Infrastruktur.
Angebot:
Ich stehe Ihnen mit meiner Expertise sehr gerne für die Rolle als ISB oder als externer Berater in ihrem Unternehmen zur Verfügung.
Vor Zusammenarbeit wird in einem „Kennenlern-Meeting“ die strategischen und taktischen Ziele sowie Organisation als auch Zeit und Budget besprochen, damit ein für sie passendes Angebot erstellt werden kann.
ISMS nach ISO 27001
Ausgangslage:
ISO/IEC 27001 ist die anerkannteste internationale Norm für Informationssicherheits-Managementsysteme.
Sie legt die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) fest.
Wofür ist eine ISO 27001 Zertifizierung sinnvoll?
- Einhaltung von Anforderungen (geschäftlich, rechtlich, vertraglich, regulatorisch)
- Vermeidung von Datenschutzverstößen und Bußgeldern
- Kontinuierliche Informationssicherheit im Unternehmen verankern
- Für die Gewinnung neuer Kunden, z.B. wenn der Auftraggeber eine ISO 27001 Zertifizierung verlangt
- Image, Verbessern sie ihren Ruf
- ständige Überprüfen ihrer Sicherheitsmaßnahmen
- Reduzierung der Haftungsrisiken der Geschäftsführung
Umsetzung:
Schon vor der Entscheidung des Managements für ein Aufbau eines ISMS kann ich sie auf dem Weg zu einer erfolgreichen Zertifizierung unterstützen.
Wichtig dabei sind 2 Dinge
- Die Geschäftsführung muss 100% hinter dem Projekt stehen und
- Die erforderlichen Ressourcen zur Verfügung stellen.
Angebot:
Mit einer Zertifizierung nach ISO 27001 können Sie die Wirksamkeit Ihres Informationssicherheitsmanagementsystems (ISMS) nachweisen. Dieser Standard definiert die Anforderungen, die an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS gestellt werden.
Ich biete folgende Unterstützung an:
- Unterstützung beim Aufbau eines ISMS
- Begleitung bei der Umsetzung von ISO 27001
- Durchführung eines internen Audits
- Hilfe bei externen und Zertifizierungsaudits
- Unterstützung bei der Erstellung und Umsetzung von Richtlinien
- Begleitung bis zum Erreichen der Zertifizierungsreife
- Optional auch als Informationssicherheitsbeauftragter
In der Regel werden 12 bis 18 Monate benötigt, um ein ISMS aufzubauen und dieses zertifizieren zu lassen. Wie ich sie dabei möglichst effizient unterstützen kann, besprechen wir gemeinsam vorab in einem für sie kostenlosen und unverbindlichen „Kennenlern-Meeting“.
#01 Analyse
Ich ermittele den konkreten Bedarf Ihres Unternehmens.
#02 Konzeption
Ich entwickele für Sie sichere und individuelle Konzepte.
#3 Betreuung
Ich begleite Sie kurz- und langfristig bei der Umsetzung.
Ich bringe meinen Kunden nicht nur das Thema „Datenschutz“ verständlich rüber und liefere pragmatische Lösungen.
Datenschutz und IT Sicherheit sind zwar unterschiedliche Dinge – sollten aber nicht getrennt werden.
Individuelle Beratung
Expertenwissen
Dirk Borbe
Inhaber
Mit Dirk arbeiten wir auf vertrauensvolle und transparente Art zusammen. Dirk verstärkt unser Team und bereichert uns durch sein breit aufgestelltes Wissen, aber auch die Fähigkeit zuhören zu können.
Franz Obermayer
FOXGROUP
Dirk hat bei uns das Thema Datenschutz sehr gut implementiert. Alle anfänglichen Abneigungen zu diesem Thema und auch durch der Druck von aussen wurde uns durch seine ruhige, verständnisvolle und kompetente Art genommen. Nun haben wir eine Basis, auf der wir weiter arbeiten und aufbauen können. Die Zusammenarbeit können wir empfehlen.
Nicole Scheich
Orgahead Consulting & Trading GmbH
Die Einhaltung gesetzlicher Branchenrichtlinien und aller Vorgaben im Bereich Datenschutz nimmt Zeit und Manpower in Anspruch. Als externer DSB für Hamburg und die norddeutsche Region nehme ich Ihnen diese Mühen ab und bringe Know-how in Ihr Unternehmen, das gerade im Bereich Datenschutz oft fehlt.
Mit meinem ganzheitlichen Ansatz vom Bereich Compliance bis zur ISO 27001 Beratung decke ich auch Ihre betrieblichen Anforderungen umfassend und professionell ab:
Datenschutz für Ihr Startup
Ob Einzelunternehmer, Kaufmann oder regionale Firma – die Richtlinien der DSGVO sind von jedem Unternehmen zu erfüllen. Ich helfe Ihnen beim Datenschutz vom Startup bis zum erfahrenen Fachbetrieb weiter.
Echte Informationssicherheit gewinnen
Oft herrscht Unsicherheit bei Entscheidern und Mitarbeitern, wie sich digitale Informationssicherheit im Betrieb realisieren lässt. Hier liefe ich konkrete Ansätze, die sich schnell in den Arbeitsalltag integrieren lassen.
Keine Angst vor Bußgeldern
Teure Strafen bei Verstößen gegen die DSGVO werden sicher auch von Ihrem Unternehmen gefürchtet. Mit mir als externer DSB für Hamburg und Umgebung gehen Sie keine Kompromisse ein.
Leistungen kombinieren
Als externer DSB kenne ich die enge Verzahnung vieler Leistungen, die ich professionell anbiete. Mit mir vertrauen Sie auf einen einzelnen Ansprechpartner, um Lösungen im Bereich Compliance, Datenschutz und die Einhaltung branchenrelevanter Normen zu finden.
Bereits in unserem Erstgespräch klären wir gemeinsam ab, welches Leistungsspektrum für Ihr Unternehmen interessant und relevant ist. Zögern Sie nicht, Besonderheiten Ihrer Branche oder Ihres Unternehmens frühzeitig anzusprechen.
Transparente Verträge
Mein Dienstleistungsvertrag als Datenschutzbeauftragter fasst alle vereinbarten Leistungen detailliert zusammen. So gewinnen beide Seiten sachliche und rechtliche Sicherheit, welche Kompetenzen in meinen Aufgabenbereich fallen.
Sollten Sie meinen Dienstleistungsvertrag als Datenschutzbeauftragter mit der Zeit anpassen wollen, stellt dies selbstverständlich kein Problem dar. Schließlich kann sich die rechtliche Situation für Ihre Branche oder Firma verändern.
Fortwährender Service
Themen wie Datenschutz und Compliance werden in Zukunft noch mehr an Bedeutung gewinnen. Ich verstehe mich deshalb nicht als Partner für die einmalige Optimierung Ihrer betrieblichen Situation.
Gerne begleite ich Sie beim Thema Datenschutz vom Startup bis zum wachsenden Unternehmen, stets mit einer direkten Anpassung der jeweils gültigen Grundlagen und rechtlichen Rahmenwerte. Zögern Sie nie, bei Fragen zu datenschutzrelevanten Themen auf mich als externen DSB direkt zuzukommen.