• E-Book

    7,99 €

Leitfaden zur Organisation der Informationssicherheit - Joachim Schmitz - E-Book

Leitfaden zur Organisation der Informationssicherheit E-Book

Joachim Schmitz

0,0
7,99 €
-100%
Sammeln Sie Punkte in unserem Gutscheinprogramm und kaufen Sie E-Books und Hörbücher mit bis zu 100% Rabatt.
Mehr erfahren.
Beschreibung

Der Leitfaden zur Organisation der Informationssicherheit ist ein unverzichtbarer Ratgeber für alle, die den Datenschutz gewährleisten müssen. Auch kleine und mittlere Unternehmen sind von den komplexen Regelungen betroffen. Oft wissen sie nicht, wie sie die gesetzlichen Anweisungen einhalten sollen. Doch wer gegen den Datenschutz verstößt, muss mit empfindlichen Strafen rechnen. Dr. Joachim Schmitz erläutert umfassend und verständlich, um welche Vorgaben und Aufgaben es sich handelt und wer dafür zuständig ist. Sein Konzept erklärt, wo, wie und warum man den Datenschutz einrichtet. Eine Hilfestellung, die viele Unternehmen lange ersehnt haben!

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 103

Veröffentlichungsjahr: 2022

Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Bewertungen werden von Nutzern von Legimi sowie anderen Partner-Webseiten vergeben.
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.

Dr. Joachim Schmitz

Leitfaden zur Organisation der Informationssicherheit

Copyright: © 2022 Dr. Joachim Schmitz

Verlag: TraditionArt Verlag

www.TraditionArt-Verlag.de

Lektorat: Ingo Noack

www.Lektorat-Buch.de

Umschlag & Satz: Erik Kinting

www.buchlektorat.net

Druck: tredition GmbH

An der Strusbek 10

22926 Ahrensburg

Softcover

978-3-347-77876-4

Hardcover

978-3-347-77877-1

E-Book

978-3-347-77878-8

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Editorial

Das Ergebnis einer repräsentativen Umfrage des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche Bitkom e. V. aus dem Jahre 2019* brachte neben dem statistischen Zahlenwerk die klare Aussage, dass explizit kleine und mittelständige Unternehmen von der DSGVO „hart getroffen worden sind“.

Weiterhin war der Tenor, dass „große Unsicherheit bei der Auslegung des Regelwerkes herrsche“ und dass es offensichtlich „vielen Unternehmen unmöglich sei, die DSGVO vollständig umzusetzen“.

Das erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, in ihrem Resümee zu der repräsentativen Befragung von 503 Datenschutzverantwortlichen.

Da die Personen befragt wurden, die mit der direkten Umsetzung beauftragt waren, ist davon auszugehen, dass ein noch deutlich negativeres Bild bei einer Befragung der Unternehmensleitung gezeichnet worden wäre.

In der Zeit nach Covid 19 wird sich diese Gemengelage nicht wesentlich verbessert haben, denn viele Unternehmen hatten während der Pandemie-Zeit existenzielle Probleme und waren somit vollständig im Tagesgeschäft gefangen.

Nun, wo die Situation sich ein wenig entspannter darstellt, nimmt der Umsetzungsdruck durch die Datenschutzregeln wieder zu.

Um diesen Druck ein wenig zu mildern, ist die Idee dieses Ratgebers entstanden.

Es gibt bereits mehrere Ratgeber auf dem Markt, doch viele davon helfen nicht weiter.

Deshalb bin ich der Meinung, dass dieser Leitfaden seinen Platz finden wird. Ich stelle Ihnen nämlich eine Handlungsrichtlinie zur Verfügung, mit der Sie die Maßnahmen zur Datenschutz-Verordnung reibungslos in Ihren Organisationsablauf integrieren können.

Es geht bei diesem Ratgeber nicht darum, Ihr Unternehmen den Richtlinien entsprechend umzustrukturieren, sondern darum, die richtigen Maßnahmen möglichst reibungslos in Ihre bestehenden Strukturen zu integrieren.

Dies ist beileibe keine unverständliche Materie, denn Datenschutz hat weniger mit Technik zu tun, als Sie vielleicht im ersten Moment annehmen.

In erster Linie geht es um Bewusstseinsbildung und eine verbindliche, einverständliche organisatorische Umsetzung.

Datenschutz gehört gewissermaßen zur genetischen Grundlage eines jeden Unternehmens, denn jeder Kunde muss sich darauf verlassen können, dass seine Daten und nicht nur seine Aufträge bei Ihnen in den besten, sichersten und kompetentesten Händen sind.

Eine effiziente Datenschutzstruktur, die optimalerweise so schlank daherkommt, dass sie den Kunden nicht über Gebühr strapaziert, bietet einen klaren Wettbewerbsvorteil.

Wenn sie nach außen dargestellt wird! Diesem Thema werden wir uns noch am Schluss des Leitfadens zuwenden.

Wir reden hier darüber, dass der Datenschutz ein Teil der gelebten Unternehmensphilosophie sein muss. Und die Unternehmensphilosophie und ihre Umsetzung gehören bekanntermaßen zu den Aufgaben der Unternehmensführung.

Natürlich ist der Datenschutz in all seinen Ausprägungen ein ungeliebtes Kind. Aber er ist nun einmal da.

Wenn Sie jetzt damit also weiterhin fremdeln, wird dies letztlich nur zu teuren Reibungsverlusten führen.

Ergo ist es ab sofort besser für Sie und Ihr Unternehmen, sich mit dem Datenschutz und seinen Auswirkungen anzufreunden. Es muss ja keine Liebe werden.

Ich werde Ihnen mit diesem übersichtlichen und sich auf das Wesentliche konzentrierenden Ratgeber dabei helfen.

Durch meine Erfahrung als selbstständiger Sachverständiger IT beim Bundesverband Deutscher Sachverständiger und als Fachgutachter ist meine Erkenntnis aus zahlreichen Kundengesprächen, dass sich trotz der deutlichen Bußgeldforderungsmöglichkeiten der Datenschutzbehörden immer noch einige Unternehmer nicht ihrer Haftung bewusst sind.

Und tatsächlich gibt es auch noch den einen oder anderen Unternehmer, der glaubt, dass die Positionierung eines Datenschutzbeauftragten eine dem Zeitgeist geschuldete freiwillige Maßnahme wäre und keine gesetzliche Umsetzungsvorgabe.

Leider gibt es auch nach wie vor Unternehmen, bei denen die IT-Berichtspflicht irgendwo im Bereich Technik versandet, anstatt direkt im Bereich der Geschäftsführung zu landen.

Was jetzt natürlich nicht bedeuten soll, dass der IT-Leiter statt des Gesamtleiters Technik an den Geschäftsleitungsmeetings teilnimmt, aber der Tagungspunkt „IT und Datenschutz“ muss auf der Agenda stehen. Er kann dann auch ruhig vom Bereichsleiter Technik vorgetragen werden.

Den Gesamtzusammenhang im Auge, möchte ich Ihnen die Notwendigkeit eines durchgängigen IT-Berichtswesens an Ihr Unternehmerherz legen.

Die gesetzlichen Vorgaben lassen zugegebenermaßen an einigen Stellen mehr oder weniger sinnvollen Spielraum. An einer Stelle jedoch sind sie äußerst klar und unmissverständlich.

Jede Unternehmensführung hat einen umfangreichen Katalog an Pflichten zur Informationssicherheit zu erfüllen.

Genau diese Pflichten werde ich Ihnen in diesem Ratgeber strukturiert näherbringen.

Last but not least: Es geht in diesem Leitfaden nicht darum, eine effiziente und im Sinne des Datenschutzes optimale IT-Organisationsstruktur abzubilden (das ist ein Thema für einen weiteren Ratgeber!), sondern darum, die erforderlichen Aufgaben zu definieren, die organisatorisch zielführend sind.

Diese Aufgaben werden durch Personen Ihres Unternehmens wahrgenommen.

Nicht jede Aufgabe hierzu wird nur von einer Person wahrgenommen werden können. Deshalb sprechen wir im weiteren Verlauf dieses Ratgebers besser von notwendigen Prozessen, die je nach Unternehmenssituation von einer Person bzw. einem oder gar mehreren Teams verantwortet werden.

Wir haben also klar definierte Rollen, sprich Aufgaben, und verschiedene Interpreten, die Vorgaben umsetzen sollen.

Inhalt

Cover

Titelblatt

Urheberrechte

Editorial

Kapitel 1: Die drohende Gefahr Ihres Haftungsrisikos

Die rechtliche Situation

Der Bußgeldkatalog

Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen

Das Risiko der Geschäftsführung und der verantwortlichen Personen

Zivilrechtliche Schadensersatzansprüche

Die Haftungshoheit der DSGVO

Aufgabenerwartung an die Geschäftsführer und Vorstände

„Inhaftungsnahme“ der Mitarbeiter

Die Haftung eines Datenschutzbeauftragten

Die Datenschutzerklärung und ihr Nutzen

Kapitel 2: Die Kernbereiche der Informationssicherheit in Ihrem Unternehmen

Der Datenschutz

Die Datensicherheit

Ziele der Datensicherheit

Was ist der Unterschied zwischen Daten und Informationen?

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Definition Datenschutz

Definition Datensicherheit

Datensicherheit erreichen

Umzusetzende Ansätze

Die Erstellung eines Datensicherheitskonzeptes

Was sind die Grundanforderungen für ein Datensicherheitskonzept?

Datensicherheitskonzept: denkbare Basis-Inhalte

Die Compliance im Spiegel von Datenschutz und IT-Sicherheit

Technische und organisatorische Maßnahmen (TOM)

Implementierung eines Systems zum Schutze von Hinweisgebern

Compliance-Officer, Datenschutzbeauftragter und die zwingend notwendige Zusammenarbeit

Cyber-Security

Umfang der Cyberbedrohung

Struktur der Cyberattacken

Welcher Methoden bedienen sich die Angreifer?

Welches sind die Maßnahmen, die einen relativ hohen Schutz versprechen?

Schützen Sie sich vor Cyberangriffen

Kapitel 3: Die Einführung eines Informationssicherheits-Management-Systems

Das ISMS auf der Basis der ISO27001

Audit und Zertifizierung

Das Plus einer verlässlichen Informationssicherheit

Generieren ISO 27001 / IEC 27001 Nutzen für Unternehmen?

Das Kundenvertrauen und Ausschreibungschancen werden bedient

Wer ist berechtigt, die Zertifizierung ausstellen?

ISO 27001, die effiziente Risikominimierung

Kapitel 4: Prozesse, Verantwortliche und Rollen

Beteiligte Rollen

Die Rolle des Chief Information Security Officers (CISO)

Der Chief Information Security Officer (CISO) und seine Verantwortungen

Verantwortlichkeiten eines CISO

Was sind die Anforderungen an einen CISO?

Zertifizierung zum CISO

CISO oder CSO?

CISO-Rollendefinition

Die Rolle des Datenschutzbeauftragten (DSB) und seine Aufgaben

Die Aufgaben eines Datenschutzbeauftragten gem. DSGVO Artikel 39

Datenschutzmanagementsystem

Datenschutzvorfälle und technisches Verständnis

Wann benennen Sie einen Datenschutzbeauftragten im Unternehmen?

Was muss bei der Bestellung eines Datenschutzbeauftragten gem. DSGVO Artikel 38 beachtet werden?

Verletzung der Rechte und Pflichten durch einen DSB

Definition der Kernaufgaben des Datenschutzbeauftragten

Die Rolle des Informationssicherheitsbeauftragten (ISB)

Der Informationssicherheitsbeauftragte und seine Aufgaben

Gibt es eine gesetzliche Verpflichtung zur Bestellung eines ISB?

Wer sollte der Rolleninhaber der ISB-Position sein?

Ist eine externe Wahl die bessere Option?

Kapitel 5: IT-Grundschutz und Datenschutz-Dokumente

Der BSI IT-Grundschutz

Sind KRITIS-Verordnung und IT-Grundschutz dasselbe?

Ist der Datenschutz durch den IT-Grundschutz abgedeckt?

Überblick über die Standards des BSI

BSI IT-Grundschutz Zertifizierung

ISO 27001 Zertifizierung

Das Zertifizierungs-Procedere

Die Kostenstruktur der ISO 27001 Zertifizierung

Kosten der eigentlichen ISO 27001 Zertifizierung

Deckungsgleichheit zwischen BSI-IT-Grundschutz und ISO 27001?

Der IT-Grundschutz-Check

Was beinhalteten die BSI-Grundschutz-Kataloge?

Die IT-Grundschutz Bausteine

Sinn der benutzerdefinierten Bausteine

Die Umsetzung des BSI IT-Grundschutzes

Kapitel 6: Wesentliche Dokumente für den Datenschutz

Wesentliche Dokumente für den Datenschutz

Das Verzeichnis von Verarbeitungstätigkeiten:

Das Datenschutzkonzept:

Die Datenschutzfolgeabschätzung:

Datenschutzhinweise:

Betriebsvereinbarungen:

Vereinbarungen bezüglich Verschwiegenheit und / oder Vertraulichkeit:

Vereinbarungen zur Auftragsverarbeitung:

Die Dokumentation der technisch-organisatorischen Maßnahmen (TOM):

Gibt es üblicherweise einen Verantwortlichen für die Erstellung der Datenschutz-Dokumente?

Das Datenschutzkonzept ist nicht das Gesamtkonzept des Datenschutzes

Sensibilisierung der Mitarbeiter

Je Länger, desto sicherer

Wie kann man sich die Passwörter merken?

Das Ändern von Passwörtern

Die Lösung vieler Probleme: der Passwort-Manager

So erstellen Sie ein sicheres Passwort:

Ein weiteres Sicherheitsschloss

Zusammenfassung

Datenschutz als Wettbewerbsvorteil?

Die Datenschutzerklärung und ihr Nutzen

Die Datenschutzerklärung als Herausforderung für Website-Betreiber

Welche Möglichkeiten gibt es, eine Datenschutzerklärung zu erstellen?

Generelle Empfehlungen für eine Datenschutzerklärung

Reihenfolge der Punkte bezüglich der Verarbeitung

Der richtige Link

Information auf der Website

Unvermeidbare Aktualitätschecks

Ausblick: Nur Eins unter vielen

Schlussbemerkung

Leitfaden zur Organisation der Informationssicherheit

Cover

Titelblatt

Urheberrechte

Editorial

Schlussbemerkung

Leitfaden zur Organisation der Informationssicherheit

Cover

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

Kapitel 1: Die drohende Gefahr Ihres Haftungsrisikos

Die rechtliche Situation

Lassen Sie mich die rechtliche Situation mit der Darstellung eines Präzedenzfalls beginnen, um Ihnen aufzuzeigen, was im schlechtesten Falle passieren könnte.

Ich bin sicher, dass dieses Beispiel und die beiden weiteren Bußgelderlasse (weiter unten) bei Ihnen eine gewisse Aufmerksamkeit in Richtung Handlungsnotwendigkeit erzeugen werden.

Der Vorgang anlässlich der bisher höchsten Bußgelderhebung wird ein wenig intensiver beleuchtet, die beiden anderen Fälle finden hier nur deshalb Erwähnung, weil es sich dabei auch um millionenschwere Bußgelder handelt.

Ich werde den Vorgang, der bei H+M zu diesem immensen Bußgeld führte, immer wieder „zurate ziehen“, sodass er uns als roter Faden begleiten wird.

Sie sollten wissen, was im Worst-Case-Szenario auf Sie als Unternehmen zukommen kann und wie sich dies im schlimmsten Fall auf Sie persönlich als Verantwortlichem auswirken könnte.

Um aber nicht gänzlich in das tiefe Tal der Depression zu fallen, sollten Sie auch wissen, dass die Behörden zwar einerseits berechtigterweise Zeichen setzen wollen, aber andererseits auch einer hilfreichen Bereinigung der Situation und Mitwirkung bei der Aufklärung Rechnung tragen.

Das bis dato höchste Bußgeld wurde im Jahre 2020 verhängt, aufgrund mehrerer schwerwiegender Verstöße gegen den Beschäftigungsdatenschutz.

Die Höhe des Bußgeldes wurde festgelegt und eingefordert durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit („HmbBfDI“). Der Adressat des Bußgeldbescheides in Höhe von EUR 35.258.707,95 (35,25 Millionen) war die H&M Hennes & Mauritz Online Shop A.B. & Co. KG mit Sitz in Hamburg („H&M“).

Bemerkenswert hieran ist insbesondere, dass bei der Festlegung des Bußgeldes schon berücksichtigt wurde, dass die H+M Konzernleitung den betroffenen Mitarbeitern unverzüglich eine Entschädigung angeboten hatte und dass die Konzernspitze aktiv mitwirkte, um den Fall transparent darzulegen.

Was brachte nun das Unternehmen H+M in die unglückliche Lage für ein so hohes Bußgeld?