JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

In unserem Podcast „Löschkonzepte – Mehr als nur Papierkram“ erfahren Sie, warum ein Löschkonzept weit über das einfache Drücken von „Strg-Alt-Entf“ hinausgeht. Die Datenschutzgrundverordnung (DSGVO) schreibt im Artikel 5 das Prinzip der Speicherbegrenzung vor: Daten dürfen nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Gleichzeitig haben betroffene Personen das Recht auf Löschung ihrer Daten (Artikel 17 DSGVO). Ein strukturiertes Löschkonzept ist daher unerlässlich – und zwar für digitale wie auch für Papierdaten.

Informationssicherheit und Datenschutz: Zwei Seiten einer Medaille

Auch aus Sicht der Informationssicherheit, etwa nach ISO 27001, ist das Löschen nicht mehr benötigter Informationen Pflicht. Sie müssen nachweisen können, wann und wie Sie Daten gelöscht haben – unabhängig davon, ob es sich um personenbezogene oder andere vertrauliche Informationen handelt.

Wie erstellen Sie wirksame Löschkonzepte?

Wir geben Ihnen im Podcast konkrete Tipps:

  • Beginnen Sie mit einer systematischen Inventur Ihrer Daten: Wo liegen welche Daten? In welchen Systemen, auf welchen Servern oder in welchen Papierarchiven?
  • Kategorisieren Sie Ihre Daten und ordnen Sie ihnen die jeweiligen gesetzlichen Aufbewahrungsfristen zu.
  • Legen Sie klare Verantwortlichkeiten fest: Wer löscht welche Daten, wann und wie?
  • Integrieren Sie Löschprozesse direkt in Ihre Arbeitsabläufe, statt sie als lästigen „Papiertiger“ zu behandeln.
  • Dokumentieren Sie alle Löschvorgänge nachvollziehbar, ohne sensible Details zu protokollieren.

Typische Fallstricke – und wie Sie sie vermeiden

Im Podcast sprechen wir offen über die häufigsten Herausforderungen:

  • Fehlende Verantwortlichkeiten und unklare Zuständigkeiten
  • Unübersichtliche Datenbestände, insbesondere bei Alt-Systemen und Cloud-Diensten
  • Widersprüchliche gesetzliche Vorgaben zu Aufbewahrungs- und Löschfristen
  • Schwierigkeiten bei der Löschung von Daten bei externen Dienstleistern

Unsere Experten zeigen Ihnen, wie Sie diese Stolpersteine umgehen und warum die Zusammenarbeit von Datenschutz und Informationssicherheit dabei entscheidend ist.

Unsere Praxistipps für Ihr Unternehmen

  • Führen Sie regelmäßige Dateninventuren durch und aktualisieren Sie Ihr Löschkonzept bei neuen Datenbeständen.
  • Erstellen Sie für unterschiedliche Datenkategorien individuelle Löschregeln.
  • Automatisieren Sie Löschprozesse, wo immer möglich – und testen Sie diese regelmäßig auf ihre Wirksamkeit.
  • Schulen Sie Ihre Mitarbeiter und machen Sie die Bedeutung des Themas im Unternehmen sichtbar.

Fazit: Löschkonzepte lohnen sich!

Ein gut durchdachtes Löschkonzept unterstützt nicht nur die Einhaltung gesetzlicher Vorgaben, sondern verbessert auch Ihre internen Prozesse im Datenschutz und der Informationssicherheit. Klare Verantwortlichkeiten, strukturierte Dokumentation und regelmäßige Überprüfung sind dabei der Schlüssel zum Erfolg.

Hier ein Paar Links die zum Thema „Löschkonzepte – Mehr als nur Papierkram“ nützlich sein können:

Hören Sie rein und profitieren Sie vom Fachwissen unserer Experten!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

 

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3) hatten wir dargestellt, warum die alleinige Fokussierung auf rein technische Aspekte bei der Informationssicherheit nicht ausreichend ist. Als Gegenentwurf skizzieren wir ein Awareness-Konzept, das deutlich mehr beinhaltet als einige oberflächliche Schulungsveranstaltungen.

In Teil 3 des Blogs wurde die Fragestellung der Darbietungsform bereits angerissen. Gerade bei zugekauften Inhalten neigen die meisten dazu, Inhalte so einzusetzen, wie sie vom Anbieter kommen. Nur selten wird hinterfragt, ob die angebotene Form der Lerninhalte auch wirklich zur Zielgruppe selber, zu den vorgesehenen Lernzielen und nicht zuletzt zum Inhalt passt. So werden oftmals eLearnings und Präsentationen übernommen, ohne die Eignung der Unterlagen zu hinterfragen.

Psychologische Aspekte

Einige psychologische Ansätze beschreiben sogenannte Lernkanäle – hauptsächlich die Sinneskanäle, wie Sehen und Hören, aber auch die Motorik (das Selbermachen, mit den eigenen Händen) oder den kognitiven Lernkanal, der auf die Ergänzung und Vervollständigung des bestehenden, eigenen Wissensgerüstes fokussiert. Die Kernaussage der Theorie über die Lernkanäle besteht darin, dass verschiedene Menschen die verschiedenen Lernkanäle unterschiedlich effizient nutzen. Je nach eigenem Lerntyp fällt dem Einzelnen das Lernen also mal etwas leichter, mal etwas schwerer – je nachdem, über welchen Kanal die Lerninhalte aufgenommen werden.

Die zweite Kernaussage der Theorie der Lernkanäle zielt auf eine möglichst vielfältige Gestaltung der Lerninhalte. Wenn die Materialen und Medien so aufgebaut werden, dass möglichst viele Kanäle genutzt werden, adressiert man auf diese Art die verschiedenen Lerntypen und erreicht in der Summe ein besseres Ergebnis bei der Vermittlung der Lerninhalte. Eine bewusstere Auswahl der Darbietungsform beugt also nicht nur einer gefühlten oder tatsächlichen Eintönigkeit vor, sondern kann auch das Lernergebnis insgesamt verbessern.

Und noch einen Gedanken sollte man bei der Auswahl der Darbietungsform und der genutzten Medien nicht vergessen. In Teil 2 wurde das Tripel aus Wissen, Wollen und Können angesprochen. Bei der Auswahl der Methoden und Darbietungsformen kann auch der gewollte Schwerpunkt eine Rolle spielen. So eignet sich z.B. eine Präsentation eher zum Vermitteln und Darstellen von Wissen. Wenn es dagegen eher um den Erwerb oder die Verbesserung des Könnens gehen soll, wäre eine praktische Übung für jeden Teilnehmer sicher passender. Natürlich gibt es auch hier oft eine innere Logik für die Reihenfolge: zumeist muss zuerst Wissen vermittelt werden, um dieses dann in praktischen Übungen in Können umzuwandeln. Beide Aspekte gehören für viele Inhalte zusammen – was jedoch nicht heißt, dass sie zwingend auch zusammen, in einer Veranstaltung, dargeboten werden müssen …

Übrigens – falls die Frage aufgekommen sein sollte, welche Überlegungen hinter der Idee des Awareness-Konzeptes stehen: den zugrundeliegenden Ansatz stellt Matthias Weigmann in einem Blogartikel vor!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Für die Speicherung von personenbezogenen Daten wird nach der DSGVO eine gültige Rechtsgrundlage (Art. 6 DSGVO) benötigt. Im Zusammenhang mit einem konkreten Geschäftsvorgang (z.B. einer Warenbestellung oder der Behandlung beim Zahnarzt) kommen hierfür die Einwilligung der betroffenen Person oder z.B. vertragliche Verpflichtungen gegenüber dem Betroffenen in Betracht.

Daneben müssen von den Unternehmen in der Regel eine ganze Reihe von gesetzlichen und steuerrechtlichen Vorschriften beachtet werden, die die Speicherung von Betroffenendaten erfordern bzw. mit sich bringen. Insbesondere führen hier gesetzliche Nachweispflichten für z.B. Jahresabschlüsse, Verträge, Rechnungen, Schriftverkehr usw. zu Speicherfristen, die über die Erfordernisse des eigentlichen Geschäftsvorgangs hinausgehen. Auch diese Vorschriften stellen eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten dar.

Das Vierte Bürokratieentlastungsgesetz (BEG IV) regelt, dass ab 1. Januar 2025 steuerrechtliche Buchungsbelege (wie z.B. Rechnungskopien, Kontoauszüge, Lohn-/Gehaltslisten) nicht mehr für 10 Jahre, sondern nur noch für 8 Jahre aufbewahrt werden müssen. Das bedeutet, dass solche Buchungsbelege aus den Jahren 2015 und 2016 (oder älter) nach steuerrechtlichen Maßstäben vernichtet werden können.

(Text im Bundesgesetzblatt siehe https://www.bmj.de/SharedDocs/Pressemitteilungen/DE/2024/0313_BEGIV.html
https://www.recht.bund.de/bgbl/1/2024/323/VO.html)

Auswirkungen für den Datenschutz

In datenschutzrechtlicher Sicht entfällt damit für die betreffenden Unterlagen die Rechtsgrundlage für die Speicherung der personenbezogenen Daten. Soweit nicht andere Aufbewahrungsfristen beachtet werden müssen (z.B. BGB für Handels- und Geschäftsbriefe oder für Patientenakten) sind die entsprechenden Unterlagen daher unverzüglich und datenschutzgerecht zu vernichten bzw. zu löschen.

Die Überwachung der Aufbewahrungsfristen für Unterlagen mit personenbezogenen Daten sowie deren Löschung nach Beendigung des jeweiligen Zweckes (Art.5 DSGVO), ist eine der wesentlichen Verpflichtungen aus der DSGVO für Unternehmen oder Selbständige wie z.B. Handwerker oder Ärzte.

Im Rahmen der Auskunftspflichten aus der DSGVO (Abschnitt 2 DSGVO) können Betroffene Auskunft über ihre personenbezogenen Daten verlangen. Falls dabei Verstöße festgestellt werden, z.B. weil die Daten längst hätten gelöscht werden müssen, sind gegebenenfalls Schadensersatzforderungen möglich.

Maßnahmen der Aufsichtsbehörden

Auch die Datenschutz-Aufsichtsbehörden prüfen und verfolgen Verstöße gegen Aufbewahrungsfristen und verhängen gegebenenfalls Bußgelder.

In einer am 5. März 2025 veröffentlichten Pressemitteilung (https://datenschutzkonferenz-online.de/media/pm/DSK-PM_CEF_2025.pdf) haben Datenschutzbehörden nun angekündigt, eine europaweite Aktion zur Durchsetzung des Rechts auf Löschung (Art. 17 DSGVO) durchzuführen.

Hierbei sollen ausgewählte Unternehmen in einem Fragebogen Auskunft über den Umgang mit Löschverlangen und Beschwerden von Betroffenen erteilen. Gegenstand der Befragung werden in diesem Zusammenhang auch die im Unternehmen etablierten Datenschutz-Maßnahmen sein. Inwieweit sich aus der Analyse der Antworten bereits Maßnahmen gegenüber einzelnen Unternehmen ergeben, bleibt abzuwarten.

Aufgaben für Unternehmen

Die Reduzierung der Aufbewahrungsfristen von steuerlich relevanten Geschäftsunterlagen sowie die aktuelle Schwerpunktsetzung der Aufsichtsbehörden sollte die Unternehmen dazu bewegen, einmal den Stand der eigenen Datenschutzmaßnahmen in diesem Umfeld zu prüfen und gegebenenfalls nachzuarbeiten. Dazu gehören insbesondere folgende Schwerpunktthemen

  • Die sorgsame Behandlung von Beschwerden und Löschverlangen von Betroffenen
  • Die unverzügliche und qualifizierte Beantwortung von Anfragen der Aufsichtsbehörden
  • Die Festlegung bzw. Aktualisierung von Löschregeln und Verfahren für alle Unterlagen mit Personenbezug
  • Die Überprüfung aller gespeicherten Unterlagen hinsichtlich ihrer Aufbewahrungsfristen und gegebenenfalls unverzügliche Vernichtung bzw. Löschung

In einer von der Unternehmensleitung herausgegebenen Datenschutz-Richtlinie sollten Verfahrensprozesse und Verantwortlichkeiten hierfür angemessen geregelt werden

Bei Fragen, kommen Sie bitte gerne auf uns zu.

Die Verfassung der Bundesrepublik Deutschland in Form unseres Grundgesetzes räumt Kirchen und anderen religiösen Vereinigungen oder Gemeinschaften weitgehende Freiheiten und Gestaltungsmöglichkeiten ein, um ausreichenden Raum für die Beachtung der religiösen Vorschriften zu schaffen.

Das Verhältnis von Staat und Kirchen ist im Grundgesetz durch Art. 140 GG in Verbindung mit Art. 137 der Weimarer Verfassung von 1919 geregelt. Darin wird die Freiheit der Vereinigung zu Religionsgemeinschaften gewährleistet und festgelegt, dass die Religionsgemeinschaften als Körperschaften des öffentlichen Rechts ihre Angelegenheiten selbst regeln, hierzu gehört z.B. auch das Recht Kirchensteuern zu erheben.

Das (Selbst-) Bestimmungsrecht der Kirchen schließt auch den Persönlichkeitsschutz der Kirchenmitglieder und der bei den Kirchen beschäftigten Personen ein. Die allgemeinen Verordnungen und Gesetze, wie z.B. die Europäische Datenschutz-Grundverordnung (DSGVO) oder das Bundesdatenschutzgesetz (BDSG) gelten für die Kirche somit zunächst nicht (Art. 91 DSGVO) (siehe auch https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html).

Die beiden großen Kirchen in Deutschland haben deshalb eigene Datenschutzgesetze erlassen, die die Regelungen der allgemeinen Datenschutzgesetze in das Kirchenrecht übertragen. Das sind für die katholische Kirche das KDG (https://www.kdsa-nord.de/Download/Hamburg/201712_KDG.pdf )und für die evangelischen Kirche das DSG-EKD (https://www.kirchenrecht-ekd.de/document/41335#s47000055)

Mit vorrangiger Berücksichtigung der Interessen der Kirchen werden in diesen speziellen Datenschutzgesetzen z.B. die Rechte von Betroffenen und die Pflichten der Kirchen als verantwortliche Stelle im Sinne der DSGVO geregelt.

Die Synode der evangelischen Kirche hat nun eine Überarbeitung DSG-EKD beschlossen und im Amtsblatt der EKD am 13.11.2024 veröffentlicht. Das neue Gesetz wird ab 01.05.2025 wirksam. (https://datenschutz.ekd.de/2025/01/22/veroeffentlichung-dsg-ekd-amtsblatt/).

Im Wesentlichen wurden hier weitere Annäherungen an die DSGVO durchgeführt und Erleichterungen für die Umsetzung von Datenschutzaspekten geschaffen.

Dazu gehören z.B.

  • Anpassung der Rechtsgrundlagen (‚berechtigtes Interesse‘ der EKD)
  • Einwilligungen zur Datenverarbeitung von Minderjährigen
  • Stärkung der Informationspflichten von Betroffenen
  • Vereinfachung beim Einsatz von Dienstleistern (Fortfall ‚Unterwerfungsklausel‘)
  • Veränderung der Schwellwerte zur Einrichtung von Datenschutzbeauftragten in den kirchlichen Einrichtungen
  • Veränderungen in den Bußgeld-Regelungen

Insgesamt wurden die Regelungen des Gesetzes modernisiert und den aktuellen Erfordernissen angepasst. Die Schutzrechte von betroffenen Personen wurden stärker als bisher an den Regelungen der DSGVO ausgerichtet und damit weiter gestärkt.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

wir freuen uns, Ihnen unsere neueste Podcast-Folge vorzustellen! In dieser Episode widmen wir uns einem zentralen Thema des Datenschutzes: Dem Verzeichnis der Verarbeitungstätigkeiten (VVT).

Was ist das VVT?

Das VVT ist wie ein Tagebuch für Ihr Unternehmen. Es dokumentiert, welche personenbezogenen Daten verarbeitet werden, warum und wie damit umgegangen wird. Laut DSGVO ist die Führung eines VVTs für größere Unternehmen verpflichtend, aber auch kleinere Firmen müssen es führen, wenn sie regelmäßig personenbezogene Daten verarbeiten.

Warum ist das VVT wichtig?

Das VVT bietet mehr als nur die Erfüllung gesetzlicher Vorgaben. Es hilft Unternehmen:

  • Risiken zu identifizieren
  • Prozesse zu optimieren
  • Sich bei Kontrollen abzusichern

Wie erstellt man ein VVT?

Die Erstellung ist einfacher als gedacht. Oft reicht eine Excel-Tabelle mit folgenden Informationen:

  • Wer verarbeitet die Daten?
  • Welche Daten werden verarbeitet?
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Technische und organisatorische Maßnahmen (TOMs)

Wer ist verantwortlich?

Die Erstellung wird vom Datenschutzbeauftragten oder -koordinator initiiert, der eng mit den Fachabteilungen zusammenarbeitet.

Regelmäßige Aktualisierung

Wir empfehlen das VVT mindestens jährlich zu überprüfen und zu aktualisieren.

Fazit

Das Verzeichnis der Verarbeitungstätigkeiten ist nicht nur eine gesetzliche Pflicht, sondern ein wertvolles Werkzeug zur Optimierung Ihrer Prozesse und zum Schutz personenbezogener Daten.

Hier ein Paar Links zum Thema „Verzeichnis der Verarbeitungstätigkeiten“

Jetzt reinhören!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein ereignisreiches Jahr für Informationssicherheit, Datenschutz und KI

Das Jahr 2024 neigt sich dem Ende zu, und in unserer letzten Podcast-Folge werfen wir einen umfassenden Blick auf die Entwicklungen, Herausforderungen und Chancen in den Bereichen Informationssicherheit, Datenschutz und Künstliche Intelligenz (KI). Unternehmen sahen sich in diesem Jahr nicht nur mit neuen Regularien wie NIS2 konfrontiert, sondern auch mit einer immer stärkeren Integration von KI-Technologien, die die Arbeitswelt nachhaltig verändern.

Highlights der Folge

Künstliche Intelligenz (KI): Automatisierung und neue Perspektiven

KI hat in diesem Jahr eine Schlüsselrolle eingenommen – sei es in der Beratung, der Überprüfung von Richtlinien oder als Chance zur Automatisierung in der Informationssicherheit. Doch der Einsatz von KI bringt auch Herausforderungen mit sich, etwa hinsichtlich ihrer Berücksichtigung in Datenschutzregelungen und der Anpassung interner Prozesse.

Datenschutz und DSGVO: Kritik und neue Herausforderungen

Die Datenschutz-Grundverordnung (DSGVO) steht weiterhin im Fokus, nicht nur durch Kritik an ihrem starren Regelwerk, sondern auch durch neue Technologien, die bislang kaum in den Vorschriften berücksichtigt werden. Besonders KI wirft neue Fragen zum Umgang mit personenbezogenen Daten auf und zeigt, dass Anpassungen dringend nötig sind.

NIS2-Umsetzung: Auswirkungen auf Unternehmen

Mit der NIS2-Richtlinie kamen weitreichende Änderungen für Unternehmen, doch die Umsetzung verlief vielerorts schleppend. Die stark gestiegene Zahl betroffener Unternehmen bringt neue Anforderungen und Risiken mit sich, die den Handlungsbedarf 2024 noch einmal deutlich gemacht haben.

Awareness und Schulungen: Sensibilisierung wird essenziell

Cybergefahren und der richtige Umgang mit KI erfordern ein höheres Maß an Bewusstsein und Kompetenz. Neue gesetzliche Schulungspflichten unterstreichen, wie wichtig es ist, Mitarbeiter und Geschäftsführungen regelmäßig zu sensibilisieren und auf den neuesten Stand zu bringen.

ANMATHO AG: Zurück im Winterhuder Weg

Die ANMATHO AG kehrt an ihren ursprünglichen Standort im Winterhuder Weg in Hamburg zurück. Ein Schritt, der die Weichen für ein produktives und erfolgreiches Jahr 2025 stellt.

 

Hier ein Paar Links zum Thema „Jahresrückblick 2024“

Lesen Sie hier die Beiträge aus 2024: https://anmatho.de/neuigkeiten/blog-artikel/

Hier finden Sie die Podcasts zu den neuen Regularien: https://anmatho.de/neuigkeiten/podcast/

Regularien in der Informationssicherheit: https://www.openkritis.de/

Leitfaden zur sicheren Nutzung von KI-Systemen:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Leitfaden_KI-Systeme_230124.html

Informationen zum TDDDG: https://de.wikipedia.org/wiki/Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

 

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein und starten Sie bestens informiert ins Jahr 2025!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den ersten vier Artikeln dieser Serie ging es um eine kurze Einführung in die Struktur der ISO 27701:2021 und einen kurzen Überblick über die neuen Controls im Anhang der Norm. In diesem Artikel soll es um die Veränderungen bzw. Erweiterungen der Normkapitel der ISO 27001:2013 durch die ISO 27701:2021 gehen, insbesondere zur Planung im DSMS.

Die ISO 27001:2013 geht in ihr letztes Jahr. Die meisten Organisationen haben bereits auf die ISO 27001:2022 umgestellt. Zur ISO 27701 gibt es allerdings erst einen Entwurf einer Version mit Bezug zur ISO 27001:2022. Daher werde ich hier, wahrscheinlich ein letztes Mal, ausgehend von der ISO 27701:2021 Bezug auf die ISO 27001:2013 nehmen. Für die hier betrachteten Themen wird dies keinen Unterschied machen, da es hier wie da keine wesentlichen Unterschiede im Bezug auf diese Themen gibt bzw. geben wird.

Erweiterung der Normkapitel der ISO 27001:2013 im DSMS

Kapitel 5 der ISO 27701 nennt die Erweiterungen der Normkapitel der ISO 27001 “PIMS-spezifische Anforderungen in Bezug auf ISO/IEC 27001”. PIMS ist die Abkürzung für Privacy Information Management System, also für ein Datenschutzmanagementsystem (DSMS).

Die allgemeinste Anforderung ist, dass überall dort, wo die ISO 27001 von “Informationssicherheit” spricht, dies durch “Informationssicherheit und Datenschutz” zu ersetzen ist.

Spezifische Änderungen, bzw. weitergehende Anforderungen werden für die Kapitel 4 und 6 der ISO 27001:2013 aufgestellt. Die anderen Normkapitel bleiben, abgesehen von der Änderung von “Informationssicherheit” zu “Informationssicherheit und Datenschutz”, unberührt.

Anforderungen zu Kapitel 6 der ISO 27001:2013 “Planung”

Anforderungen zu Kapitel 6.1 “Maßnahmen zum Umgang mit Risiken und Chancen”

Dieses Kapitel erweitert das Risikomanagment um das Thema Datenschutz. Es sind also nicht nur Informationssicherheitsrisiken sondern auch Datenschutzrisiken zu betrachten.

Datenschutzrisiken unterscheiden sich von Informationssicherheitsrisiken dadurch, das zum einen ausschließlich personenbezogene Daten betrachtet werden. Zum anderen sind die Auswirkungen des Risikos auf den Betroffen im datenschutzrechtlichen Sinne zu betrachten (vgl. Art. 4 Abs. 1 DSGVO, Art. 32 Abs. 1 DSGVO und Art 35 DSGVO).

Bei der Gestaltung des Risikomangments für die Datenschutzrisiken kann also das Risikomanagment der Informationssicherheit verwendet werden. Es muss lediglich um das Schadensszenario Rechte und Freiheiten natürlicher Personen erweitert werden. Dabei ist darauf zu achten, dass bei der Berechnung des Risikoniveaus ein hoher Schadenswert für Rechte und Freiheiten natürlicher Personen nicht durch andere Schadensszenarien “weggemittelt” wird.

Auch die ausgewählten Maßnahmen sind so auszuwählen, dass sie das Risiko für die betroffenen Personen auf ein akzeptables Niveau senken. Was akzeptabel ist, ist dabei aus der perspektive der betroffenen Personen zu betrachten, nicht aus der Sicht der eigenen Organisation.

Die Anwendbarkeitserklärung (SoA) nach Kapitel 6.1.3 d) der ISO 27001:2013 ist um die Controls des Anhangs B der ISO 27701:2021 zu erweitern. Ausschlüsse sind hierbei weiterhin risikobasiert möglich oder wenn die Controlls nicht zutreffend sind, z.B. die Controls für Auftragsverarbeiter für Nicht-Auftragsverarbeiter. Auf die Einhaltung der jeweiligen Gesetze ist selbstverständlich zu achten. Viele der Controls gehen unmittelbar auf die DSGVO zurück und sind dann, sofern für die Organisation zutreffend, nicht ausschließbar.

Wie in der Einführung zu dieser Artikelserie angekündigt ergeben sich also erhebliche Synergien. Es bedarf nur eines einheitlichen Risikomanagements für Informationssicherheit und Datenschutz, sofern dieses wie dargestellt an die spezifischen Bedürfnisse des Datenschutzes angepasst ist.

Anforderungen zu Kapitel 6.2 “Informationssicherheitsziele und Planung zu deren Erreichung”

Beim Thema Ziele gibt es keine spezifischen Erweiterungen. Lediglich die allfällige Forderung, dass neben Informationssicherheitszielen auch Datenschutzziele für relevante Funktionen und Ebenen festgelegt sowie Pläne zum erreichen dieser Ziele aufgestellt werden müssen.

Wie es weiter geht

Der nächste Artikel dieser Serie zur ISO 27701 wird sich mit den Neuerungen der dann erschienen DIN EN ISO/IEC 27701:2024 (oder 2025?) beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit der EU-Digitalstrategie zum Voranbringen des digitalen Fortschrittes innerhalb der europäischen Union kommen einige neue Verordnungen auf deutsche Unternehmen und Behörden zu. Ob nun Date Act, Digital Market Act oder Data Governance Act, alle beschäftigen sich mit der Vereinfachung und Verbesserung des Datenaustausches innerhalb der EU. Auch wenn es vorrangig um nicht-personenbezogene Daten geht, sind bei diesem Datenaustausch auch immer wieder personenbezogene Daten betroffen und damit ein Fall für eine datenschutzrechtliche Betrachtung.

In diesem Podcast wollen wir darauf eingehen, was es mit dem Data Act und dem Data Governance Act auf sich hat, welche Unternehmen betroffen sind und welche Rechte und Pflichten auf sie zukommen. Außerdem wollen wir uns beide Verordnungen im Hinblick auf die Verbindung zur DSGVO ansehen.

Dieser Podcast richtet sich vor allem an die Datenschutzbeauftragten und -koordinatoren im Unternehmen, an weitere Verantwortliche im Datenschutz sowie an die Geschäftsleitung.

Hier ein Paar Links zum Thema „Data Act, DSA, DMA, DGA – wer blickt da noch durch?“

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

In den letzten Jahren hat das Arbeiten von zu Hause aus eine ganz neue Bedeutung erlangt. Für viele von uns ist das HomeOffice mittlerweile nicht mehr nur eine vorübergehende Lösung, sondern fester Bestandteil unseres Arbeitsalltags. Doch während flexible Arbeitszeiten und der Komfort des eigenen Zuhauses verlockend sind, birgt das HomeOffice auch erhebliche Herausforderungen, insbesondere wenn es um die Sicherheit von Daten geht.

Hier kommt unser Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ ins Spiel!

Warum ist Informationssicherheit im Homeoffice so wichtig?

In einer zunehmend digitalen Welt sind Daten ein wertvolles Gut. Im Homeoffice ist die Gefahr von Sicherheitslücken besonders groß, da private Netzwerke oft weniger geschützt sind als die Infrastruktur in einem Büro. Cyberangriffe, Phishing und Datenverluste können nicht nur für Sie, sondern auch für Ihr Unternehmen schwerwiegende Konsequenzen haben. Daher ist es entscheidend, dass Sie die richtigen Maßnahmen ergreifen, um sensible Informationen zu schützen.

Was bietet Ihnen unser Homeoffice-Ratgeber?

  1. Einführung in das Thema HomeOffice: Welche Unterschiede gibt es im rechtlichen Sinne und welche Vorteile und Herausforderungen bietet das HomeOffice.
  2. Grundlagen der Informationssicherheit und des Datenschutzes: Worum geht es, was ist rechtlich zu beachten und welche Risiken ist man im HomeOffice ausgesetzt.
  3. Technische und Organisatorische Maßnahmen: Erfahren Sie, welche technischen und organisatorischen Maßnahmen getroffen werden sollten, um ein sicheres Arbeiten zu gewährleisten.
  4. Datenschutzaspekte: Im Homeoffice wird oft mit vertraulichen Informationen gearbeitet. Wir zeigen, wie diese sicher gespeichert, übertragen und nach Gebrauch ordnungsgemäß entsorgt werden.
  5. Schulung und Sensibilisierung von Mitarbeitern: Wir beleuchten die Bedeutung der Mitarbeiterfortbildung, bieten Methoden und Best Practices für Schulungen.
  6. Herausforderungen für die Zukunft: Hier werden aktuelle Trends und die Technologien und Arbeitsmodelle der Zukunft aufgezeigt.
  7. Regeln für Arbeitnehmer und Arbeitgeber: Eine Checkliste zeigt, was zu bedenken ist.

Für wen ist der Ratgeber geeignet?

Es richtet sich sowohl an Unternehmen, die ihre Mitarbeiter auf die Arbeit von zu Hause aus vorbereiten und unterstützen möchten, als auch an Einzelpersonen, die die Grundlagen und Best Practices für sicheres Arbeiten von zu Hause aus kennenlernen möchten. Dieser Ratgeber bietet umfassende Informationen, um das digitale Arbeitsumfeld sicher zu gestalten.

Fazit: Investieren Sie in die Sicherheit im Homeoffice

Das HomeOffice ist nicht nur ein Ort der Produktivität, sondern auch ein potenzielles Ziel für Cyberangriffe. Mit unserem Ratgeber „Informationssicherheit & Datenschutz im HomeOffice“ erhalten Sie wertvolle Anleitungen und Tipps, um die sensiblen Daten vor Bedrohungen zu schützen und ein sicheres Arbeitsumfeld zu schaffen.

Laden Sie sich jetzt den Ratgeber herunter und sorgen Sie dafür, dass das HomeOffice sicher und effizient bleibt!

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Ratgeber Informationssicherheit und Datenschutz im HomeOffice

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Die Vorstellung der eigenen Mitarbeiter auf der Firmenwebseite, Bilder der letzten Unternehmensfeier im Intranet oder auf Social Media oder einfach nur der Betriebsausweis mit Lichtbild – im Unternehmensumfeld gibt es immer wieder Situationen in denen Bilder genutzt werden, um einen persönlichen Bezug herstellen zu können. Aber was sagt der Datenschutz zu dieser Praxis.

Piktogramm Photoapparat

Fotos im Unternehmen

In diesem Podcast wollen wir darauf eingehen, welche datenschutzrechtlichen Punkte bei der Aufnahme und vor allem bei der Veröffentlichung von Fotos von Mitarbeitern, Kunden oder Besuchern zu beachten sind. Wir gehen darauf ein, wann eine Einwilligung der Fotografierten nötig ist, was bei externen Fotografen zu beachten ist und welche Problematiken sich bei der Veröffentlichung von Fotos in Printmedien oder im Internet ergeben können.

Dieser Podcast richtet sich vor allem an Mitarbeiter in der Personalabteilung, im Marketing und in der Veranstaltungsabteilung von Unternehmen, aber natürlich auch an alle Mitarbeiter die ggf. betroffen sind.

 

Hier ein Paar Links zum Thema „Fotos im Unternehmen – was ist erlaubt und was nicht?“  

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

© ANMATHO AG