> FAQ
INFOBLOCK
FAQ - oder ein (imaginäres) INTERVIEW:
F: Markus, Datenschutz und Cyber-Security werden oft zusammen genannt, aber sind das nicht unterschiedliche Themen?
A: Tatsächlich hängen beide sehr eng aneinander. IT-Sicherheit und Informationssicherheit sind Teile der DSGVO. Der Gesetzgeber verlangt hier ausdrücklich die sichere Einbindung Ihrer Informationstechnologie.
F: Sind IT-Sicherheit und Informationssicherheit dabei als Synonyme zu verstehen?
A: Nicht ganz. „IT-Sicherheit“ umfasst vor allem die Sicherheit technischer Komponenten wie Computer, Netzwerk, sonstige IT-Technik, kurz: Ihre IT-Infrastruktur.
„Informationssicherheit“ hingegen bezieht sich auf Ihre Datenbasis, die Ihre Organisation braucht und im täglichen Geschehen verarbeitet. Also Daten von Mitarbeitern, Lieferanten, Kunden, Produktdaten, Maschinendaten, Finanzdaten, Protokolle usw.
Einfach ausgedrückt: die IT-Sicherheit können Sie als Produkt in einem Geschäft kaufen. Zur Aufrechterhaltung der Informationssicherheit hingegen müssen Prozesse gestaltet und umgesetzt werden.
Die DSGVO verlangt beides und nennt es die „Umsetzung Technischer und Organisatorischer Maßnahmen“.
Die DSGVO verlangt beides und nennt es die „Umsetzung Technischer und Organisatorischer Maßnahmen“.
F: Das klingt aber schon nach einem Bürokratiemonster…
A: Ein wenig Bürokratie steckt da schon drin, wie in jeder Regelung, aber es gibt Schlimmeres.
Und die DSGVO schützt ja auch Ihr eigenes Grundrecht der informationellen Selbstbestimmung – es möchte doch jeder, dass mit seinen Daten verantwortungsvoll umgegangen wird.
Und die DSGVO schützt ja auch Ihr eigenes Grundrecht der informationellen Selbstbestimmung – es möchte doch jeder, dass mit seinen Daten verantwortungsvoll umgegangen wird.
Mit professioneller Beratung, die mit modernen, softwarebasierten Systemen unterstützt, ist das "Monster" schnell gezähmt, von Bürokratie sprechen wir dann nicht mehr.
F: Welche Organisationen haben welche Pflichten?
A: Die DSGVO muss von Behörden, Vereinen und Unternehmen umgesetzt werden, völlig unabhängig von ihrer Personengröße, ihrem Umsatz oder ihrer Rechtsform.
Das betrifft z.B. auch den Einzelunternehmer, der als Freiberufler alleine unterwegs ist, es gibt hier keine Mindestgröße.
Das betrifft z.B. auch den Einzelunternehmer, der als Freiberufler alleine unterwegs ist, es gibt hier keine Mindestgröße.
F: Wie kann ein Unternehmer oder ein Vereinsvorstand die gesetzlichen Vorgaben erfüllen?
A: Das können die Entscheider sich recht einfach machen, indem sie diese Umsetzung als Beratungsleistung beauftragen. Dann kommt der Profi ins Haus und durchläuft mit der Organisation ein Audit, mit dem ‚gemessen‘ wird, inwieweit bestimmte Maßnahmen von den gesetzlichen Forderungen abweichen bzw. nicht umgesetzt sind.
Der Berater setzt sich anschließend mit den Verantwortlichen zusammen und bespricht, welche Maßnahmen in welcher Form am dringlichsten umzusetzen sind.
Dabei sollte gelten: so wenig wie möglich, aber so viel wie nötig… bei kleineren Unternehmen ist die Erstumsetzung der DSGVO meist innerhalb weniger Tage erledigt.
F: Welche Themen werden im Audit behandelt?
A: Das sind neben dem IT-Komplex u.a. die wichtigen Prozesse zur Ausübung der Pflichten der Verantwortlichen bzgl. der DSGVO, technische und organisatorischen Maßnahmen werden geprüft, Sensibilisierung und Schulung von Mitarbeitern, Erfüllung weiterer Dokumentationspflichten, ob Sie ein gültiges Verfahrensverzeichnis – dem Kernpunkt der DSGVO – führen und vieles mehr. Letztlich findet auch eine Überprüfung Ihres, wenn man so will, weltweiten Aushängeschildes, Ihres Webauftritts, statt.
Das Schöne ist, dass ich, anstatt Ihnen einfach einen Stapel Papier da zu lassen, eine Cloudlösung anbiete, die Ihre Pflichtdokumente jederzeit und von überall aus und von jedem internetfähigen Gerät gesetzestreu für Sie bereit hält.
Diese Cloudlösung können Sie übrigens auch separat als Dienstleistung beauftragen, wenn Sie etwa schon intern die DSGVO umsetzen, aber einen bequemen und sicheren Weg der Dokumentation wünschen.
F: Sie nannten den Webauftritt, die Webseite – ist das nicht einfach Teil der IT?
A: Wenn man so will ja, aber ich nehme es als separaten Punkt auf, weil es eben der erste Berührungspunkt ist, wenn man sich über Ihr Unternehmen oder Ihren Verein informieren möchte. Da sollte einfach alles stimmen, und zwar nicht nur die gestalterischen, sondern auch auch die rechtlichen Aspekte – wir wollen ja nicht, dass Aufsichtsbehörden, Ihre Konkurrenz oder lästige Abmahnvereine darauf aufmerksam werden.
Das ist ein weiteres separates Angebot von mir: die Analyse und ggf. Verbesserung Ihrer Webseite im Hinblick auf die gesetzlichen Dokumentations- und Darstellungspflichten.
Und keinesfalls sollte man meinen, dass die Webseiten-Designer das richtig machen! Gestalterisch wunderbar professionell gemacht, aber die rechtlichen Aspekte sind in den allermeisten Fällen nicht berücksichtigt - auch "Datenschutzerklärungs-Bots", die man im Internet findet, sind so gut wie nie vollständig.
F: Wenn ich das nun richtig verstanden habe, kann man bei Ihnen die DSGVO-Umsetzung einkaufen und hat gleich einen Blick auf die IT mit erworben.
A: Das ist richtig, die grundlegenden IT-Anforderungen für die DSGVO stecken da drin. Aber Sie können von mir auch unabhängig von der DSGVO die Sicherheit Ihrer Informationstechnologien begutachten lassen, wenn Sie die IT-Sicht vertiefen und besonders sicher gehen möchten.
Natürlich auch, wenn Sie von Kunden aufgefordert werden, eine Art IT-Zertifizierung vorzulegen – was in letzter Zeit immer öfter verlangt wird.
Natürlich auch, wenn Sie von Kunden aufgefordert werden, eine Art IT-Zertifizierung vorzulegen – was in letzter Zeit immer öfter verlangt wird.
Hier bediene ich mich ausschließlich bei einschlägigen Industrie-Standards wie etwa die des VdS, CISIS oder auch des ITIL-Servicemanagements, je nach Anforderung eines Kleinunternehmens bis hin zum Mittelstand.
Die genannten Organisationen bieten auch standardisierte IT-Sicherheitszertifizierungen an. So ist gewährleistet, dass wir immer innerhalb der normierten universellen Standards mit entsprechenden Verfahren verbleiben und Zertifizierungen von Ihrem Auftraggeber anerkannt werden.
Die genannten Organisationen bieten auch standardisierte IT-Sicherheitszertifizierungen an. So ist gewährleistet, dass wir immer innerhalb der normierten universellen Standards mit entsprechenden Verfahren verbleiben und Zertifizierungen von Ihrem Auftraggeber anerkannt werden.
Sprechen Sie mich gerne auch hierzu an, um den Reifegrad Ihrer Organisation zu ermitteln, mit dem die Aufwände für eine zukünftige Zertifizierung abgeschätzt werden können.
F: Was ist mit „NIS-2“, wer muss diese IT-Richtlinie umsetzen?
A: Die wenigsten Unternehmen werden betroffen sein. Hier werden aktuell sehr viel Bedenken geschürt. Zum einen gibt es eine Grenze, ab wieviel Mitarbeiter Ihr Unternehmen dafür überhaupt infrage kommt. Zum anderen muss es erstmal im Bereich der kritischen Industrien arbeiten, also Gesundheit, Nahrungsmittel, Energie, usw.
Es gibt Systeme, mit denen man sein Unternehmen daraufhin prüfen kann, auch da kann ich unterstützen, sprechen Sie mich an.
Wenn Sie aber tatsächlich ‚qualifiziert‘ sind, müssen Sie eigenständig handeln, da kommt niemand und fordert Sie zu etwas auf, und eine Missachtung kann sehr empfindlichen Ärger verursachen.
Auch hier habe ich Zugriff auf ein Regelwerk, über das wir sprechen und Ihr Unternehmen daraufhin abklopfen können.
Auch hier habe ich Zugriff auf ein Regelwerk, über das wir sprechen und Ihr Unternehmen daraufhin abklopfen können.
F: Wie sieht es mit Cyberversicherungen aus?
A: Vor längerer Zeit war das kein angenehmes Thema, da Versicherungen Pakete anboten, aber die Ansprechpartner oft nicht wussten, was sie da verkaufen. Das hat sich deutlich gebessert, aber auch hier werden Sie jetzt auf Versicherungswürdigkeit genauer geprüft als früher, so dass im Schadensfall keine bösen Überraschungen mehr aufkommen.
Sprechen Sie mich auch hier an, wenn Sie Unterstützung bei der Bearbeitung der Fragebögen der Versicherungen brauchen oder einen zweiten Blick auf einen Versicherungsvertrag wünschen.
F: Damit konnten wir festhalten, dass man Sie nicht nur mit der Umsetzung der DSGVO beauftragen kann, sondern auch zum Aufbau der IT-Sicherheit nach Industriestandards sowie kleinere Begutachtungen wie die Compliance-Prüfung der Webseite oder als Dienstleistung z.B. die cloudbasierte Bereithaltung von Dokumenten zur DSGVO.
A: Richtig, ich helfe in diesen Bereichen gerne, Sie können sich jederzeit bei mir melden!