Schlagwortarchiv für: Datenschutz

JETZT GIBT’S WAS AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendige Wissen zu vermitteln und Akzeptanz und Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden.

In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben.

In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“:

  • welchen Stellenwert Security Awareness hat und haben sollte,
  • warum der konzeptionelle Gedanke ratsam ist,
  • was man bei einer Risikoanalyse beachten sollte,
  • wie wichtig konkrete Awareness-Ziele sind,
  • warum „one fits all“ bei Security Awareness nicht greift.

In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen:

  • warum das Arbeitsumfeld für die Auswahl von Maßnahmen relevant ist,
  • welche Gefahr technische und organisatorische Hürden darstellen,
  • wie Verhaltensänderungen nachhaltig bewirkt werden können,
  • warum ein strukturierter Einsatz von verschiedenen Tools notwendig ist,
  • welche Tools es gibt und
  • wie man die Wirksamkeit seiner Kampagne überprüfen kann.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

Die Datenschutz-Grundverordnung (DS-GVO) hat auch auf die Datenschutzgesetze der Religionsgemeinschaften einen nicht unerheblichen Einfluss. Nachdem die Katholische Kirche mit dem KDG ein neues Gesetz zum Datenschutz geschaffen hat, folgte ihr anschließend auch die Evangelische Kirche mit dem DSG-EKD.

Hervorzuheben sind in beiden Gesetzen die Bereiche:

• Sanktionen und Rechtsweg zu den kirchlichen Verwaltungsgerichten;
• Einwilligung Minderjähriger in Bezug auf elektronische Angebote;
• IT-Sicherheit;
• Beschäftigtendatenschutz;
• Videoüberwachung bei Gottesdiensten und kirchlichen Veranstaltungen.

Insgesamt ist festzustellen, dass auch mit der Geltung der DS-GVO weiterhin Besonderheiten im kirchlichen Datenschutz bestehen.

Weitere Informationen finden Sie auf der Seite des “Bundesbeauftragten für Datenschutz und Informationsfreiheit” unter:

https://www.bfdi.bund.de/DE/Service/Anschriften/Kirchen/Kirchen-node.html

Datenschutz wird häufig als eine Art Störung empfunden, eine sehr lästige Pflicht. Manchmal wird Datenschutz auch als Ausrede missbraucht. Aber wie immer im Leben, hat jede Medaille zwei Seiten. Wollen wir heute mal gemeinsam einen Blick auf die helle, die positive Seite des Datenschutzes werfen?

Was ändert sich eigentlich mit dem neuen Datenschutzrecht?

Mit der Einführung der Datenschutz-Grundverordnung (DS-GVO) werden den Unternehmen in Europa und – zumindest mittelbar – in anderen Regionen der Welt, umfassende Vorgaben betreffend den Datenschutz gemacht, was für alle Unternehmen – so nehmen zumindest wir es momentan wahr – eine erhebliche Belastung bedeutet. So müssen unterschiedlichste Aspekte in einem Unternehmen geprüft und verändert werden, es müssen Prozesse etabliert und anschließend auch gelebt werden, man muss sich Maßnahmen erarbeiten, etc. All diese Veränderungen benötigen Zeit, Geld, Kommunikation und manchmal auch Nerven.

Doch vergessen Sie bitte nicht, das neue Datenschutzrecht wird in der gesamten Europäischen Union (EU) eingeführt und betrifft sowohl den privaten als auch den öffentlichen Bereich. Die gesamte EU bekommt jetzt ein einheitliches Datenschutzrecht. Damit haben auch alle Ihre Mitbewerber denselben Aufwand und stehen wie Sie vor den gleichen Problemen. Und das nicht nur deutschlandweit, sondern es hat auch Ihre Mitbewerber in den anderen EU-Mitgliedstaaten getroffen.

Bisher hatten alle 28 Mitgliedstaaten in der EU eigene Datenschutzvorschriften, basierend auf eher laxen Vorgaben der EU aus dem Jahre 1995. Dies führte bis heute innerhalb der EU zu einem sehr unterschiedlichen Datenschutzniveau, weshalb es für manchen Konzern attraktiv war sich gerade in bestimmten Mitgliedstaaten niederzulassen.

Die DS-GVO schafft nun einen einheitlichen belastbaren Rechtsrahmen mit einem hohen Datenschutzstandard für alle 500 Millionen EU-Bürger und damit auch gleiches Recht für alle, wobei die DS-GVO sehr nah am bisher bestehenden deutschen Datenschutzrecht ist. Das wiederum bedeutet für diejenigen Unternehmen, die bisher Ihre Hausaufgaben in Sachen Datenschutz gemacht haben, dass Sie deutlich weniger Aufwand in die Umsetzung der DS-GVO investieren müssen, als ihre europäischen Mitbewerber.

Sie sind also nicht ganz so schlecht dran, wie so mancher ihrer Mitbewerber aus dem europäischen Ausland!

Was bringt mir aber nun dieser Datenschutz?

Eine wesentliche Forderung der DS-GVO ist etwa die Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten“. In einem solchen werden alle Prozesse erfasst, in denen personenbezogene Daten in Ihrem Unternehmen verarbeitet werden. So eine Systematisierung von Unternehmensprozessen kennen wir insbesondere aus dem Qualitätsmanagement (QM), hier werden die entsprechenden Prozesse analysiert, um eine Verbesserung der Prozessqualität und letztlich der Produkte zu erreichen. Sie werden mithin bei der Erstellung eines „Verzeichnisses von Verarbeitungstätigkeiten“ erleben, dass Sie neben Ihren Prozessen auch Grauzonen – ungeklärte Verantwortungen und evtl. informelle Prozesse – entdecken, die in Ihrem Unternehmen vorhanden sind. Die Klärung dieser Prozesse dient dabei nicht nur dem Datenschutz, sondern auch Ihrem Qualitätsmanagement sowie Ihrem Wissensmanagement.

Zudem wird Datenschutz immer mehr ein eigenständiges Qualitätsmerkmal Ihres Unternehmens. Während andere Unternehmen von Datenskandalen erschüttert werden, werben Sie doch einfach mal mit Ihrem Datenschutzkonzept. Es geht um Kunden- und Mitarbeiterorientierung, wenn Sie Datenschutz nicht nur umsetzen, sondern es geschafft haben Datenschutz in der Praxis zu leben, ohne dass er Ihnen lästig erscheint. Dies stellt immer mehr einen Wettbewerbsvorteil gegenüber Mitbewerbern dar. Bei einem professionellen Umgang mit dem Thema „Datenschutz“, möglicherweise auch in Kombination mit einer entsprechenden Zertifizierung, können Sie gerade als Dienstleister bei großen Kunden oder bei öffentlichen Ausschreibungen punkten.

Im Übrigen deckt ein umfassendes Managementsystem in diesem Bereich in Ihrem Unternehmen etwaige Risiken sowie mögliche Schadensszenarien auf. Durch den systematischen Aufbau eines entsprechenden Managementsystems für die Informationssicherheit (ISMS) und den Datenschutz (DSMS) wird Ihrem Unternehmen klar vor Augen geführt, welchen Risiken und möglichen Schäden es ausgesetzt ist. Durch die Schnittmengen zwischen ISMS und DSMS können Sie zudem zwei Fliegen mit einer Klappe schlagen.

Zugleich weisen Sie mit einem Datenschutz-Managementsystem auch die Umsetzung der gesetzlichen Anforderungen nach.

Tue Gutes und rede darüber

Auch unsere eigenen Erfahrungen belegen immer wieder: Ihre Mitarbeiter werden nur dann aktiv am Datenschutz mitwirken – und somit auch an einem guten Datenschutz-Managementsystem –, wenn sie den Nutzen und die Vorteile von gutem Datenschutz erkennen. Hierfür ist es wichtig, dass die Ziele und alle Vorteile des Datenschutzes klar kommuniziert werden.

Haben Sie auch ein Kind? Haben Sie schon mal versucht, es in der Krippe oder dem Kindergarten anzumelden? Wurde Ihnen bei der Anmeldung auch so ein Bogen vorgelegt, der ganz erstaunliche Dinge abfragt und einen nicht unerheblichen Umfang hat?

Was darf die Kita eigentlich alles wissen?

Grundsätzlich können in einem Aufnahmevertrag in der Regel unproblematisch die folgenden Angaben erhoben werden:

  • Vor- und Nachname des Kindes, dessen Geburtsdatum sowie seine Anschrift;
  • Name und Anschrift der Eltern sowie deren Telefonnummern, unter denen sie in Notfällen zu erreichen sind;
  • Vor- und Nachname der Geschwister des anzumeldenden Kindes sowie deren Geburtsdatum, wenn die Gebühr der jeweiligen Kita für die Betreuung vom Alter und/oder der Anzahl der betreuten Kinder einer Familie abhängt;
  • Krankheiten wie Diabetes, Epilepsie oder Asthma, die der jeweiligen Einrichtung bekannt sein müssen, um ggf. angemessen und richtig reagieren zu können.

Handelt es sich um eine konfessionelle Einrichtung, darf auch die Konfession des Kindes abgefragt werden.

Die Erhebung weiterer Daten ist grundsätzlich unzulässig, soweit nicht ein gewisses Interesse der Einrichtung dahintersteht diese Daten doch erheben zu dürfen. Der Grund für die Erhebung dieser Daten sollte dabei regelmäßig hinreichend begründet werden. So ist beispielsweise die Frage nach der Berufstätigkeit der Eltern zulässig, wenn von dieser die Vergabe von Ganztagesplätzen abhängig ist.

Ebenso ist die Zulässigkeit der Erhebung von Staatsangehörigkeit sowie Bildungsstand der Eltern nicht grundsätzlich gegeben, sondern vielmehr eine Frage des Einzelfalles. Eigentlich sind diese Angaben für die Betreuung des Kindes nicht erforderlich.

Um möglichst viele Daten erheben zu können, sind einige Krippen und Kindergärten mittlerweile dazu übergegangen, die Erhebung dieser Daten mit einer Einwilligung der Eltern zu legitimieren. Allerdings ist hier zu beachten, dass gerade im öffentlichen Bereich (kommunale Einrichtungen) eine solche Einwilligung regelmäßig nicht wirksam sein wird.

Eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten kann zwar grundsätzlich auf eine Einwilligung oder eine Rechtsvorschrift gestützt werden und bewirkt in der Regel deren Zulässigkeit, allerdings ist der Rückgriff auf eine Einwilligung vor allem im öffentlichen Bereich nicht ohne Weiteres unproblematisch, da gerade auch in diesem der Umgang mit personenbezogenen Daten durch das jeweilige Aufgabenfeld der Einrichtung vorgezeichnet ist. Zwischen den jeweiligen personenbezogenen Daten und den wahrzunehmenden Aufgaben durch die Einrichtung muss ein enger Zusammenhang bestehen. Sind die entsprechenden personenbezogenen Daten für die eigentliche Aufgabenwahrnehmung nicht erforderlich, ist eine Erhebung, Verarbeitung oder Nutzung dieser auf der Grundlage einer Einwilligung grundsätzlich unzulässig, die jeweilige Einwilligung wäre unwirksam.

Wann ist eine Einwilligung trotzdem wirksam und die Datenabfrage zulässig?

Eine entsprechende Einwilligung ist allerdings dann wirksam, wenn eine gesetzliche Regelung fehlt und die Verwendung einer Einwilligung Entscheidungsprozesse im Interesse des Betroffenen beschleunigt sowie erleichtert.

Ergebnis

Im Ergebnis ist damit die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten wie etwa Informationen zur Schwangerschaft oder zur Geburt (beispielsweise die Anwesenheit des Vaters, Lage des Kindes vor der Geburt, etc.) regelmäßig unzulässig, soweit diese auf eine Einwilligung gestützt wird.