,

Podcast – Security on Air – Heute Datenschutz im Bewerbungsprozess

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Personaldaten sind der Schatz jedes Unternehmens – und gleichzeitig eine große Verantwortung. In unserer aktuellen Podcastfolge „Datenschutz im Bewerbungsprozess“ (aufgenommen am 16.09.2025) sprechen die Experten praxisnah darüber, wie Unternehmen den Schutz von Bewerberdaten sicher und DSGVO-konform umsetzen können.

Ob Start-up oder Großkonzern: Wer heute Bewerbungen bearbeitet, verarbeitet hochsensible personenbezogene Daten. Die Podcastfolge geht darauf ein, warum Datenschutz von Beginn an bei jedem Schritt wichtig ist und wie Risiken im Alltag wirklich vermieden werden können.

Was erwartet die Hörer in dieser Episode?

  • Überblick zu den drei zentralen Prinzipien der DSGVO im Bewerbungsprozess: Datenminimierung, Zweckbindung, Speicherbegrenzung.

  • Konkrete Handlungsempfehlungen für den Umgang mit “zu vielen” oder “unnötigen” Bewerberdaten.

  • Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren – und was ist mit dem Talentpool?

  • Tipps für technische und organisatorische Schutzmaßnahmen, von verschlüsselten Zugängen bis zu klaren Zugriffsrechten.

  • Umgang mit sensiblen Informationen, die Bewerber freiwillig mitteilen – und warum manche Daten gelöscht werden sollten.

  • Kommunikation und Schulung: Warum interne Richtlinien und bewusste Informationsweitergabe entscheidend sind.

  • Besonderheiten bei digitalen Bewerbungsgesprächen und dem Einsatz von KI.

  • Praxistipps zur Einwilligung, Löschung und zur transparenten Kommunikation mit Bewerbern.

Warum die Folge jetzt hören?

Der Podcast liefert wertvolle Tipps für Personalverantwortliche, Datenschutzbeauftragte und alle, die im Recruiting Prozess mit Bewerberdaten arbeiten. Die Experten zeigen, wie Unternehmen rechtliche Stolperfallen vermeiden, digitale Tools sicher nutzen und Datenschutz als Teil einer professionellen Unternehmenskultur leben. Das ist nicht nur Pflicht, sondern echtes Zeichen für Wertschätzung und Vertrauen!

Hören Sie rein – um den Bewerbungsprozess fit für die DSGVO zu machen!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Praxistipps zu Audits

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit einer guten Vorbereitung entspannt ins Audit gehen? In unserer aktuellen Podcast-Folge „Praxistipps zum Audit – Gut vorbereitet in die Prüfung“ geben wir Ihnen konkrete, praxisnahe Einblicke, wie Sie sich als Unternehmensleitung, Datenschutz- oder Informationssicherheitsbeauftragte optimal auf das nächste Zertifizierungsaudit vorbereiten. Die Folge hält wertvolle Tipps direkt aus der gelebten Prüfungspraxis bereit.

Worum geht es in der Episode?

Audits sind oft mit Unsicherheit und Aufregung verbunden: Wurde an alles gedacht? Sind die Umsetzungen ausreichend? Was passiert, wenn eine Regel zwar gelebt, aber nicht dokumentiert ist – oder umgekehrt? Unser Podcast-Experte, selbst als Auditor und Berater aktiv, nimmt Sie Schritt für Schritt mit durch typische Prüfungsfragen und gibt wertvolle Hinweise:

  • Regelkonformität & Nachweise: Worauf achtet ein Auditor? Warum reicht „gelebte Praxis“ alleine nicht aus?
  • Dokumentation: Was muss schriftlich festgelegt sein – und wie beweisen Sie das im Audit?
  • Interne Audits als Generalprobe: Wie nutzen Sie interne Audits zur Überprüfung und Schulung des Teams?
  • Vorbereitung der Geschäftsführung: Welche Fragen werden an die oberste Leitung gestellt – und wie beantworten Sie diese überzeugend?
  • Remote-Audits – Besonderheiten: Was müssen Sie bei Online-Prüfungen bedenken und bereithalten?
  • Typische Stolperfallen und wie Sie diese vermeiden: Von fehlenden Nachweisen bis zu unklaren Verantwortlichkeiten.
  • Audit-Etikette & Kommunikation: Wie antworten Sie souverän und vermeiden Missverständnisse?
  • Hilfsmittel für Ihre Audit-Vorbereitung: Als Kunde der ANMATHO AG erhalten Sie einen Audit-Kompass, der speziell die wichtigsten Fragestellungen für die Geschäftsleitung bündelt.

Warum reinhören?

Ob Neueinsteiger oder erfahrener Informationssicherheitsbeauftragter – die Folge bietet kompaktes Wissen, wertvolle Prüfungsstrategien, Erfahrungsberichte und praktische Hinweise, die Ihnen Sicherheit geben. Profitieren Sie von Tipps aus erster Hand und erfahren Sie, wie Sie Audits nicht nur bestehen, sondern auch zur kontinuierlichen Verbesserung Ihres Managementsystems nutzen.

Neugierig?

Hören Sie rein – Ihr Weg zum entspannten Auditstart beginnt mit einem Klick!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Löschkonzepte

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In unserem Podcast „Löschkonzepte – Mehr als nur Papierkram“ erfahren Sie, warum ein Löschkonzept weit über das einfache Drücken von „Strg-Alt-Entf“ hinausgeht. Die Datenschutzgrundverordnung (DSGVO) schreibt im Artikel 5 das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Gleichzeitig haben betroffene Personen das Recht auf Löschung ihrer Daten (Artikel 17 DSGVO). Ein strukturiertes Löschkonzept ist daher unerlässlich – und zwar für digitale wie auch für Papierdaten.

Informationssicherheit und Datenschutz: Zwei Seiten einer Medaille

Auch aus Sicht der Informationssicherheit, etwa nach ISO 27001, ist das Löschen nicht mehr benötigter Informationen Pflicht. Sie müssen nachweisen können, wann und wie Sie Daten gelöscht haben – unabhängig davon, ob es sich um personenbezogene oder andere vertrauliche Informationen handelt.

Wie erstellen Sie wirksame Löschkonzepte?

Wir geben Ihnen im Podcast konkrete Tipps:

  • Beginnen Sie mit einer systematischen Inventur Ihrer Daten: Wo liegen welche Daten? In welchen Systemen, auf welchen Servern oder in welchen Papierarchiven?
  • Kategorisieren Sie Ihre Daten und ordnen Sie ihnen die jeweiligen gesetzlichen Aufbewahrungsfristen zu.
  • Legen Sie klare Verantwortlichkeiten fest: Wer löscht welche Daten, wann und wie?
  • Integrieren Sie Löschprozesse direkt in Ihre Arbeitsabläufe, statt sie als lästigen „Papiertiger“ zu behandeln.
  • Dokumentieren Sie alle Löschvorgänge nachvollziehbar, ohne sensible Details zu protokollieren.

Typische Fallstricke – und wie Sie sie vermeiden

Im Podcast sprechen wir offen über die häufigsten Herausforderungen:

  • Fehlende Verantwortlichkeiten und unklare Zuständigkeiten
  • Unübersichtliche Datenbestände, insbesondere bei Alt-Systemen und Cloud-Diensten
  • Widersprüchliche gesetzliche Vorgaben zu Aufbewahrungs- und Löschfristen
  • Schwierigkeiten bei der Löschung von Daten bei externen Dienstleistern

Unsere Experten zeigen Ihnen, wie Sie diese Stolpersteine umgehen und warum die Zusammenarbeit von Datenschutz und Informationssicherheit dabei entscheidend ist.

Unsere Praxistipps für Ihr Unternehmen

  • Führen Sie regelmäßige Dateninventuren durch und aktualisieren Sie Ihr Löschkonzept bei neuen Datenbeständen.
  • Erstellen Sie für unterschiedliche Datenkategorien individuelle Löschregeln.
  • Automatisieren Sie Löschprozesse, wo immer möglich – und testen Sie diese regelmäßig auf ihre Wirksamkeit.
  • Schulen Sie Ihre Mitarbeiter und machen Sie die Bedeutung des Themas im Unternehmen sichtbar.

Fazit: Löschkonzepte lohnen sich!

Ein gut durchdachtes Löschkonzept unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben, sondern verbessert auch Ihre internen Prozesse im Datenschutz und der Informationssicherheit. Klare Verantwortlichkeiten, strukturierte Dokumentation und regelmäßige Überprüfung sind dabei der Schlüssel zum Erfolg.

Hier ein Paar Links die zum Thema „Löschkonzepte – Mehr als nur Papierkram“ nützlich sein können:

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

 

/von
, , ,

Awareness – Maßnahme oder Konzept? – Teil 4

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3) hatten wir dargestellt, warum die alleinige Fokussierung auf rein technische Aspekte bei der Informationssicherheit nicht ausreichend ist. Als Gegenentwurf skizzieren wir ein Awareness-Konzept, das deutlich mehr beinhaltet als einige oberflächliche Schulungsveranstaltungen.

In Teil 3 des Blogs wurde die Fragestellung der Darbietungsform bereits angerissen. Gerade bei zugekauften Inhalten neigen die meisten dazu, Inhalte so einzusetzen, wie sie vom Anbieter kommen. Nur selten wird hinterfragt, ob die angebotene Form der Lerninhalte auch wirklich zur Zielgruppe selber, zu den vorgesehenen Lernzielen und nicht zuletzt zum Inhalt passt. So werden oftmals eLearnings und Präsentationen übernommen, ohne die Eignung der Unterlagen zu hinterfragen.

Psychologische Aspekte

Einige psychologische Ansätze beschreiben sogenannte Lernkanäle – hauptsächlich die Sinneskanäle, wie Sehen und Hören, aber auch die Motorik (das Selbermachen, mit den eigenen Händen) oder den kognitiven Lernkanal, der auf die Ergänzung und Vervollständigung des bestehenden, eigenen Wissensgerüstes fokussiert. Die Kernaussage der Theorie über die Lernkanäle besteht darin, dass verschiedene Menschen die verschiedenen Lernkanäle unterschiedlich effizient nutzen. Je nach eigenem Lerntyp fällt dem Einzelnen das Lernen also mal etwas leichter, mal etwas schwerer – je nachdem, über welchen Kanal die Lerninhalte aufgenommen werden.

Die zweite Kernaussage der Theorie der Lernkanäle zielt auf eine möglichst vielfältige Gestaltung der Lerninhalte. Wenn die Materialen und Medien so aufgebaut werden, dass möglichst viele Kanäle genutzt werden, adressiert man auf diese Art die verschiedenen Lerntypen und erreicht in der Summe ein besseres Ergebnis bei der Vermittlung der Lerninhalte. Eine bewusstere Auswahl der Darbietungsform beugt also nicht nur einer gefühlten oder tatsächlichen Eintönigkeit vor, sondern kann auch das Lernergebnis insgesamt verbessern.

Und noch einen Gedanken sollte man bei der Auswahl der Darbietungsform und der genutzten Medien nicht vergessen. In Teil 2 wurde das Tripel aus Wissen, Wollen und Können angesprochen. Bei der Auswahl der Methoden und Darbietungsformen kann auch der gewollte Schwerpunkt eine Rolle spielen. So eignet sich z.B. eine Präsentation eher zum Vermitteln und Darstellen von Wissen. Wenn es dagegen eher um den Erwerb oder die Verbesserung des Könnens gehen soll, wäre eine praktische Übung für jeden Teilnehmer sicher passender. Natürlich gibt es auch hier oft eine innere Logik für die Reihenfolge: zumeist muss zuerst Wissen vermittelt werden, um dieses dann in praktischen Übungen in Können umzuwandeln. Beide Aspekte gehören für viele Inhalte zusammen – was jedoch nicht heißt, dass sie zwingend auch zusammen, in einer Veranstaltung, dargeboten werden müssen …

Übrigens – falls die Frage aufgekommen sein sollte, welche Überlegungen hinter der Idee des Awareness-Konzeptes stehen: den zugrundeliegenden Ansatz stellt Matthias Weigmann in einem Blogartikel vor!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Aktuelle Entwicklungen bei der Speicherung von Personendaten Viertes Bürokratieentlastungsgesetz (BEG IV) – Januar 2025

Für die Speicherung von personenbezogenen Daten wird nach der DSGVO eine gültige Rechtsgrundlage (Art. 6 DSGVO) benötigt. Im Zusammenhang mit einem konkreten Geschäftsvorgang (z.B. einer Warenbestellung oder der Behandlung beim Zahnarzt) kommen hierfür die Einwilligung der betroffenen Person oder z.B. vertragliche Verpflichtungen gegenüber dem Betroffenen in Betracht.

Daneben müssen von den Unternehmen in der Regel eine ganze Reihe von gesetzlichen und steuerrechtlichen Vorschriften beachtet werden, die die Speicherung von Betroffenendaten erfordern bzw. mit sich bringen. Insbesondere führen hier gesetzliche Nachweispflichten für z.B. Jahresabschlüsse, Verträge, Rechnungen, Schriftverkehr usw. zu Speicherfristen, die über die Erfordernisse des eigentlichen Geschäftsvorgangs hinausgehen. Auch diese Vorschriften stellen eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten dar.

Das Vierte Bürokratieentlastungsgesetz (BEG IV) regelt, dass ab 1. Januar 2025 steuerrechtliche Buchungsbelege (wie z.B. Rechnungskopien, Kontoauszüge, Lohn-/Gehaltslisten) nicht mehr für 10 Jahre, sondern nur noch für 8 Jahre aufbewahrt werden müssen. Das bedeutet, dass solche Buchungsbelege aus den Jahren 2015 und 2016 (oder älter) nach steuerrechtlichen Maßstäben vernichtet werden können.

(Text im Bundesgesetzblatt siehe https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/0313_BEGIV.html
https://www.recht.bund.de/bgbl/1/2024/323/VO.html)

Auswirkungen für den Datenschutz

In datenschutzrechtlicher Sicht entfällt damit für die betreffenden Unterlagen die Rechtsgrundlage für die Speicherung der personenbezogenen Daten. Soweit nicht andere Aufbewahrungsfristen beachtet werden müssen (z.B. BGB für Handels- und Geschäftsbriefe oder für Patientenakten) sind die entsprechenden Unterlagen daher unverzüglich und datenschutzgerecht zu vernichten bzw. zu löschen.

Die Überwachung der Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten sowie deren Löschung nach Beendigung des jeweiligen Zweckes (Art.5 DSGVO), ist eine der wesentlichen Verpflichtungen aus der DSGVO für Unternehmen oder Selbständige wie z.B. Handwerker oder Ärzte.

Im Rahmen der Auskunftspflichten aus der DSGVO (Abschnitt 2 DSGVO) können Betroffene Auskunft über ihre personenbezogenen Daten verlangen. Falls dabei Verstöße festgestellt werden, z.B. weil die Daten längst hätten gelöscht werden müssen, sind gegebenenfalls Schadensersatzforderungen möglich.

Maßnahmen der Aufsichtsbehörden

Auch die Datenschutz-Aufsichtsbehörden prüfen und verfolgen Verstöße gegen Aufbewahrungsfristen und verhängen gegebenenfalls Bußgelder.

In einer am 5. März 2025 veröffentlichten Pressemitteilung (https://datenschutzkonferenz-online.de/media/pm/DSK-PM_CEF_2025.pdf) haben Datenschutzbehörden nun angekündigt, eine europaweite Aktion zur Durchsetzung des Rechts auf Löschung (Art. 17 DSGVO) durchzuführen.

Hierbei sollen ausgewählte Unternehmen in einem Fragebogen Auskunft über den Umgang mit Löschverlangen und Beschwerden von Betroffenen erteilen. Gegenstand der Befragung werden in diesem Zusammenhang auch die im Unternehmen etablierten Datenschutz-Maßnahmen sein. Inwieweit sich aus der Analyse der Antworten bereits Maßnahmen gegenüber einzelnen Unternehmen ergeben, bleibt abzuwarten.

Aufgaben für Unternehmen

Die Reduzierung der Aufbewahrungsfristen von steuerlich relevanten Geschäftsunterlagen sowie die aktuelle Schwerpunktsetzung der Aufsichtsbehörden sollte die Unternehmen dazu bewegen, einmal den Stand der eigenen Datenschutzmaßnahmen in diesem Umfeld zu prüfen und gegebenenfalls nachzuarbeiten. Dazu gehören insbesondere folgende Schwerpunktthemen

  • Die sorgsame Behandlung von Beschwerden und Löschverlangen von Betroffenen
  • Die unverzügliche und qualifizierte Beantwortung von Anfragen der Aufsichtsbehörden
  • Die Festlegung bzw. Aktualisierung von Löschregeln und Verfahren für alle Unterlagen mit Personenbezug
  • Die Überprüfung aller gespeicherten Unterlagen hinsichtlich ihrer Aufbewahrungsfristen und gegebenenfalls unverzügliche Vernichtung bzw. Löschung

In einer von der Unternehmensleitung herausgegebenen Datenschutz-Richtlinie sollten Verfahrensprozesse und Verantwortlichkeiten hierfür angemessen geregelt werden

Bei Fragen, kommen Sie bitte gerne auf uns zu.

/von

Neues Datenschutzrecht bei der evangelischen Kirche Deutschlands (DSG-EKD)

Die Verfassung der Bundesrepublik Deutschland in Form unseres Grundgesetzes räumt Kirchen und anderen religiösen Vereinigungen oder Gemeinschaften weitgehende Freiheiten und Gestaltungsmöglichkeiten ein, um ausreichenden Raum für die Beachtung der religiösen Vorschriften zu schaffen.

Das Verhältnis von Staat und Kirchen ist im Grundgesetz durch Art. 140 GG in Verbindung mit Art. 137 der Weimarer Verfassung von 1919 geregelt. Darin wird die Freiheit der Vereinigung zu Religionsgemeinschaften gewährleistet und festgelegt, dass die Religionsgemeinschaften als Körperschaften des öffentlichen Rechts ihre Angelegenheiten selbst regeln, hierzu gehört z.B. auch das Recht Kirchensteuern zu erheben.

Das (Selbst-) Bestimmungsrecht der Kirchen schließt auch den Persönlichkeitsschutz der Kirchenmitglieder und der bei den Kirchen beschäftigten Personen ein. Die allgemeinen Verordnungen und Gesetze, wie z.B. die Europäische Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) gelten für die Kirche somit zunächst nicht (Art. 91 DSGVO) (siehe auch https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html).

Die beiden großen Kirchen in Deutschland haben deshalb eigene Datenschutzgesetze erlassen, die die Regelungen der allgemeinen Datenschutzgesetze in das Kirchenrecht übertragen. Das sind für die katholische Kirche das KDG (https://www.kdsa-nord.de/Download/Hamburg/201712_KDG.pdf )und für die evangelischen Kirche das DSG-EKD (https://www.kirchenrecht-ekd.de/document/41335#s47000055)

Mit vorrangiger Berücksichtigung der Interessen der Kirchen werden in diesen speziellen Datenschutzgesetzen z.B. die Rechte von Betroffenen und die Pflichten der Kirchen als verantwortliche Stelle im Sinne der DSGVO geregelt.

Die Synode der evangelischen Kirche hat nun eine Überarbeitung DSG-EKD beschlossen und im Amtsblatt der EKD am 13.11.2024 veröffentlicht. Das neue Gesetz wird ab 01.05.2025 wirksam. (https://datenschutz.ekd.de/2025/01/22/veroeffentlichung-dsg-ekd-amtsblatt/).

Im Wesentlichen wurden hier weitere Annäherungen an die DSGVO durchgeführt und Erleichterungen für die Umsetzung von Datenschutzaspekten geschaffen.

Dazu gehören z.B.

  • Anpassung der Rechtsgrundlagen (‚berechtigtes Interesse‘ der EKD)
  • Einwilligungen zur Datenverarbeitung von Minderjährigen
  • Stärkung der Informationspflichten von Betroffenen
  • Vereinfachung beim Einsatz von Dienstleistern (Fortfall ‚Unterwerfungsklausel‘)
  • Veränderung der Schwellwerte zur Einrichtung von Datenschutzbeauftragten in den kirchlichen Einrichtungen
  • Veränderungen in den Bußgeld-Regelungen

Insgesamt wurden die Regelungen des Gesetzes modernisiert und den aktuellen Erfordernissen angepasst. Die Schutzrechte von betroffenen Personen wurden stärker als bisher an den Regelungen der DSGVO ausgerichtet und damit weiter gestärkt.

/von
,

Podcast – Security on Air – Heute das VVT

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

wir freuen uns, Ihnen unsere neueste Podcast-Folge vorzustellen! In dieser Episode widmen wir uns einem zentralen Thema des Datenschutzes: Dem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Was ist das VVT?

Das VVT ist wie ein Tagebuch für Ihr Unternehmen. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden, warum und wie damit umgegangen wird. Laut DSGVO ist die Führung eines VVTs für größere Unternehmen verpflichtend, aber auch kleinere Firmen müssen es führen, wenn sie regelmäßig personenbezogene Daten verarbeiten.

Warum ist das VVT wichtig?

Das VVT bietet mehr als nur die Erfüllung gesetzlicher Vorgaben. Es hilft Unternehmen:

  • Risiken zu identifizieren
  • Prozesse zu optimieren
  • Sich bei Kontrollen abzusichern

Wie erstellt man ein VVT?

Die Erstellung ist einfacher als gedacht. Oft reicht eine Excel-Tabelle mit folgenden Informationen:

  • Wer verarbeitet die Daten?
  • Welche Daten werden verarbeitet?
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Technische und organisatorische Maßnahmen (TOMs)

Wer ist verantwortlich?

Die Erstellung wird vom Datenschutzbeauftragten oder -koordinator initiiert, der eng mit den Fachabteilungen zusammenarbeitet.

Regelmäßige Aktualisierung

Wir empfehlen das VVT mindestens jährlich zu überprüfen und zu aktualisieren.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Pflicht, sondern ein wertvolles Werkzeug zur Optimierung Ihrer Prozesse und zum Schutz personenbezogener Daten.

Hier ein Paar Links zum Thema „Verzeichnis der Verarbeitungstätigkeiten“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Jahresrückblick 2024

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein ereignisreiches Jahr für Informationssicherheit, Datenschutz und KI

Das Jahr 2024 neigt sich dem Ende zu, und in unserer letzten Podcast-Folge werfen wir einen umfassenden Blick auf die Entwicklungen, Herausforderungen und Chancen in den Bereichen Informationssicherheit, Datenschutz und Künstliche Intelligenz (KI). Unternehmen sahen sich in diesem Jahr nicht nur mit neuen Regularien wie NIS2 konfrontiert, sondern auch mit einer immer stärkeren Integration von KI-Technologien, die die Arbeitswelt nachhaltig verändern.

Highlights der Folge

Künstliche Intelligenz (KI): Automatisierung und neue Perspektiven

KI hat in diesem Jahr eine Schlüsselrolle eingenommen – sei es in der Beratung, der Überprüfung von Richtlinien oder als Chance zur Automatisierung in der Informationssicherheit. Doch der Einsatz von KI bringt auch Herausforderungen mit sich, etwa hinsichtlich ihrer Berücksichtigung in Datenschutzregelungen und der Anpassung interner Prozesse.

Datenschutz und DSGVO: Kritik und neue Herausforderungen

Die Datenschutz-Grundverordnung (DSGVO) steht weiterhin im Fokus, nicht nur durch Kritik an ihrem starren Regelwerk, sondern auch durch neue Technologien, die bislang kaum in den Vorschriften berücksichtigt werden. Besonders KI wirft neue Fragen zum Umgang mit personenbezogenen Daten auf und zeigt, dass Anpassungen dringend nötig sind.

NIS2-Umsetzung: Auswirkungen auf Unternehmen

Mit der NIS2-Richtlinie kamen weitreichende Änderungen für Unternehmen, doch die Umsetzung verlief vielerorts schleppend. Die stark gestiegene Zahl betroffener Unternehmen bringt neue Anforderungen und Risiken mit sich, die den Handlungsbedarf 2024 noch einmal deutlich gemacht haben.

Awareness und Schulungen: Sensibilisierung wird essenziell

Cybergefahren und der richtige Umgang mit KI erfordern ein höheres Maß an Bewusstsein und Kompetenz. Neue gesetzliche Schulungspflichten unterstreichen, wie wichtig es ist, Mitarbeiter und Geschäftsführungen regelmäßig zu sensibilisieren und auf den neuesten Stand zu bringen.

ANMATHO AG: Zurück im Winterhuder Weg

Die ANMATHO AG kehrt an ihren ursprünglichen Standort im Winterhuder Weg in Hamburg zurück. Ein Schritt, der die Weichen für ein produktives und erfolgreiches Jahr 2025 stellt.

 

Hier ein Paar Links zum Thema „Jahresrückblick 2024“

Lesen Sie hier die Beiträge aus 2024: https://anmatho.de/neuigkeiten/blog-artikel/

Hier finden Sie die Podcasts zu den neuen Regularien: https://anmatho.de/neuigkeiten/podcast/

Regularien in der Informationssicherheit: https://www.openkritis.de/

Leitfaden zur sicheren Nutzung von KI-Systemen:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

Informationen zum TDDDG: https://de.wikipedia.org/wiki/Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und starten Sie bestens informiert ins Jahr 2025!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, , ,

Datenschutz in ein bestehendes ISMS integrieren (Teil 5 – Führung und Planung)

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen