Datenschutz

Datenschutz kostet Geld, ohne den Unternehmen einen unmittelbar fassbaren Nutzen zu bringen. Das führt dazu, dass der Datenschutz in vielen Unternehmen nur einen Alibicharakter aufweist: Gesetzliche Vorschriften werden mehr oder weniger formal erfüllt. Deshalb kombiniert die VZM GmbH gemeinsam mit ihren Kunden Datenschutz und Informationssicherheit. Das Eigeninteresse des Unternehmens nach Sicherheit in der Informationsverarbeitung wird kombiniert mit den gesetzlichen Forderungen des Bundesdatenschutzgesetzes (BDSG). Die Erfüllung der gesetzlichen Zielvorgaben wird somit vom bloßen Kostenfaktor zum Nutzen stiftenden Baustein innerhalb der Informationssicherheit.

Das Leistungsspektrum der VZM GmbH im Rahmen dieses nutzenorientierten Datenschutzes umfasst eine ganze Reihe von Komponenten:

Analyse Datenschutz- und Informationssicherheit

Eine Risiko- und Schwachstellenanalyse wird ganzheitlich für die Informationsverarbeitung durch die Betrachtung ihrer gesamten relevanten IT-Infrastruktur durchgeführt. Es werden rechtliche, organisatorische, bauliche physisch-technische, infrastrukturelle, personelle und IT-spezifische Sicherheitsaspekte betrachtet.

Das Ergebnis besteht in der Feststellung und ganzheitlichen Beurteilung von Datenschutz- und Sicherheitsrisiken, die die Vertraulichkeit, Verfügbarkeit und In­tegrität gefährden können. Dies geschieht mit Blick auf die Anforderungen des BDSG, d.h., insbesondere die daten­schutzrechtlichen Risiken der Betriebstätigkeit und des Mitarbeiterdatenschutzes werden gewürdigt. Es werden Vorschläge zur Eingrenzung der erkannten Risiken erarbeitet und die Angemessenheit vorhandener Maßnahmen transparent beurteilt.

Sicherheit von Verfahren

In der Anlage zum § 9 fordert das BDSG angemessene Schutzmaßnahmen für die im jeweiligen Verfahren verarbeiteten personenbezogenen Daten. Die Durchführung und die Bewertung der Maß­nahmen sind im BDSG und in seinen Kommentierungen nicht näher spezifiziert oder gar vorgeschrieben. Naheliegend ist, eine solche Prüfung nach der Systematik und den Kriterien der IT-Grundschutzkataloge des BSI durch­zuführen. Damit ent­steht ein doppelter Nutzen für das Unternehmen. Die Erfüllung der gesetz­lichen Forderungen des Datenschutzes erfolgt im Gleichklang mit der Weiterentwicklung des Informationsschutzes nach der anerkannte Methode des IT-Grundschutzes. 

Sicherheitsrichtlinie

Datenschutz und Informationssicherheit am Arbeitsplatz erfordern genaue Vorgaben darüber, was zulässig und wie zu verfahren ist. Eine Benutzerrichtlinie muss die Ziele und Ansprüche des Unternehmens klar darstellen. Sie regelt Fragen zu Datenschutz und Informationssicherheit am Arbeitsplatz, Auskunftsfragen und Vor­schriften zur Autorisierung von Anwendungen, den Umgang mit Daten, Datenträgern, Akten und Listen. Die Richtlinie kann als Online-Dokument zur Verfügung gestellt werden und so entscheidende Vorteile sicherstellen:

  • Aktualität
  • Übersichtlichkeit
  • schneller Zugriff

Arbeitnehmerunterweisungen: Konzepterarbeitung, Planung und Durchführung

Zu den wesentlichen Aufgaben im gesetzlich vorgeschriebenen Datenschutz gehören die Unterweisung der Mitarbeiter und ihre Verpflichtung auf das Datengeheimnis. Es ist zu empfehlen, bei dieser Gelegenheit nicht nur den Datenschutz, sondern auch die für die Mitarbeiter relevanten Fragen der Informationssicherheit in die Entwicklung eines umfassenden Awareness-Konzeptes einzubeziehen.

Übernahme der Funktion des externen Datenschutzbeauftragten

Auf Grundlage des ausgearbeiteten Datenschutzkonzeptes übernehmen wir die Funktion des externen Datenschutzbeauftragten und damit alle Aufgaben, die das BDSG dem DSB überträgt. Dazu gehören u.a.:

  • Laufende Beratung in Datenschutz‑ und Datensicherheitsfragen sowie Anfertigung von Stellungnahmen
  • Durchführung von Schulungen zu Datenschutz und Datensicherheit
  • Verpflichtung auf das Datenschutzgeheimnis nach §5 BDSG
  • Erarbeitung eines regelmäßigen Datenschutzberichtes und von Stellungnahmen bei Bedarf
  • Stichprobenprüfungen zur Kontrolle der Einhaltung von Datenschutz- und Informations-Sicherheitsrichtlinien
  • Durchführung von Revisionen
  • Begutachtung der Ordnungsmäßigkeit des Datenschutzes bei der Planung und Einführung neuer oder der Ände­rung und Ergänzung bestehender IT-Anwendungen
  • Unterstützende Beratung zur Erfüllung der Pflichten des Auftragsdatenverarbeiters im Rahmen der Tätigkeit für Dritte
  • Berücksichtigung der speziellen Anforderungen bei grenzüberschreitender Datenübertragung und -verarbeitung
  • Beratung und Unterstützung bei der Zusammenarbeit mit den Aufsichtsbehörden