Verwaltung

Berg Anstieg Hilfe

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen – jetzt mit LSI Siegel

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. „Arbeitshilfe“.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu „basteln“, bleibt nur die Frage „Wieso sollte man das tun?“

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die „Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG“ entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren „Quick Check Datenschutz + Datensicherheit“. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die „Arbeitshilfe“ universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel „Kommunale IT-Sicherheit“ des Landesamts für Sicherheit in der Informationstechnik – kurz LSI – in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels „Kommunale IT-Sicherheit“. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel „Kommunale IT-Sicherheit“

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie „Bürgermeister“ mit „Geschäftsführer“ und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel „Kommunale IT-Sicherheit“ kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

 

 

 

 

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten auch extern bestellen.

Vorteile der externen Bestellung eines Datenschutzbeauftragten für bayerische Kommunen

Die Vorteile eines externen Datenschutzbeauftragten für Kommunen liegen klar auf der Hand

  • Transparenz in Zeit und Kosten
  • Stets aktuelles Know-How durch Grundausbildung, Fort- und Weiterbildung des externen Datenschutzbeauftragten (nicht zu Lasten der Kommune)
  • Sofort im Thema: Der externe Datenschutzbeauftragte kennt sich mit Theorie und Praxis im Datenschutzrecht und Datenschutzalltag bestens aus und kann sofort loslegen
  • Gemeinsame Bestellung möglich: Mehrere Kommunen im Landkreis können sich im Rahmen der Interkommunalen Zusammenarbeit zeit und Kosten für einen externen Datenschutzbeauftragten teilen

Übergangslösung durch externe Beratung zum 25.05.2018

Nichts ist schlimmer, als nichts zu tun. Daher empfehlen wir, nicht bis zum 25.05.2018 abzuwarten. Holen Sie bereits heute einen versierten Datenschutzberater an Bord, der Ihre Kommune fit für den Datenschutz und die Anforderungen der EU-Datenschutzgrundverordnung macht. Damit legen Sie erfolgreich den Grundstein für die erfolgreiche Tätigkeit des externen Datenschutzbeauftragten für (bayerische) Kommunen ab dem 25.05.2018.

Die externen Datenschutzbeauftragten von a.s.k. Datenschutz für bayerische Kommunen

Speziell für bayerische Kommunen stehen die ausgebildeten Berater und späteren externen Datenschutzbeauftragten von a.s.k. Datenschutz bereit. Mit dem Thema Datenschutz zumeist bereits seit Jahren befasst, haben unsere Mitarbeiter die Datenschutz-Kurse der Bayerischen Verwaltungsschule (BVS) erfolgreich absolviert oder sich in anderen geeigneten Maßnahmen für den Einsatz in öffentlichen und nicht-öffentlichen Stellen qualifiziert. Zusätzlich sind unsere Mitarbeiter zertifizierte Informationssicherheitsbeauftragte (BVS) und können Ihren Bezirk, Ihr  Landratsamt, Ihre Stadt oder Ihre Gemeinde vollumfänglich unterstützen. Sollten Sie einen externen Informationssicherheitsbeauftragten für bayerische Kommunen benötigen, stehen wir Ihnen damit ebenfalls zur Verfügung.

Angebot für einen externen behördlichen Datenschutzbeauftragten für bayerische Kommunen anfordern

Sie wünschen ein Angebot für einen externen behördlichen Datenschutzbeauftragten für Ihre Kommune? Nutzen Sie einfach das Formular aus unserem Flyer (Download am Ende des Beitrags) oder schreiben Sie uns eine Email.

[wpfilebase tag=file path=’flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf‘ /]

Big Brother Awards 2012 verliehen – hier die Gewinner

Big Brother Awards?

„Die BigBrotherAwards Deutschland wurden ins Leben gerufen, um die öffentliche Diskussion um Privatsphäre und Datenschutz zu fördern – sie sollen missbräuchlichen Umgang mit Technik und Informationen zeigen.
Seit dem Jahr 2000 werden in Deutschland die BigBrotherAwards an Firmen, Organisationen und Personen verliehen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen. Die BigBrotherAwards sind ein internationales Projekt: in bisher 19 Ländern wurden fragwürdige Praktiken mit diesen Preisen ausgezeichnet.“

https://www.bigbrotherawards.de/

And the winners 2012 are …

„Sieger“ gab es dieses Jahr zuhauf. So wurde in der Kategorie Behörden + Verwaltung der sächsische Staatsminister des Inneren, Herrn Markus Ulbig, für Funkzellenabfragen im Raum Dresden im Rahmen einer Anti-Nazi-Demonstration im Frühjahr 2011 ausgezeichnet. Ob sich Bundesinnenminister Dr. Hans-Peter Friedrich (CSU) über seinen Award in der Kategorie Politik für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag wirklich freut, bleibt abzuwarten.

Weniger personenbezogen wurde die Cloud als Trend ausgezeichnet, Nutzern die Kontrollrechte über ihre darin abgelegten Daten zu entziehen. Das 2008 vom Bundesverfassungsgericht postulierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wird in den meisten aktuellen Umsetzungen von Cloud Computing eklatant verletzt.

In der Kategorie Arbeitswelt hat sich ein nicht unbekanntes Unternehmen um den Datenschutz besonders hervorgetan: dieser Award geht an die Firma Bofrost für die rechtswidrige Ausforschung von Daten auf einem Betriebsratscomputer.

Alle „Ausgezeichneten“ können Sie hier im Detail nachlesen.

Nominierungen für 20120 können bereits eingereicht werden.

 

Foto: Thorsten Möller https://www.bigbrotherawards.de/graphics

 

Ende des Versteckspiels – Behörden sollen Datenpannen offenlegen

Meldepflicht von Datenpannen

Seit 2009 müssen sich Unternehmen, die personenbezogene Daten „verlieren“ und eine meldepflichtige Datenpanne verursachen, unter anderem eigenständig bei der für sie zuständigen Landesdatenschutzbehörde melden und die Betroffenen ausführlich informieren. Der erzieherische Effekt durch das Bekanntwerden in der Öffentlichkeit ist bewußt eingeplant.

Gleichberechtigung – auch im Datenschutz?

Der Gesetzgeber war jedoch der Meinung, „seine“ Behörden und deren Datenpannen von der Meldepflicht ausnehmen zu müssen. Über die Gründe läßt sich nur spekulieren. Nur so ist jedoch zu erklären, wieso Verbraucher Behörden mit der Schulnote 2,9 noch als vertrauenswürdiger vor allen anderen „Branchen“ einstufen. Pannen werden meist nur durch den Protest seitens Betroffener bekannt.

Kritik vom Bundesdatenschutzbeauftragten

Der Bundesdatenschutzbeauftragte Peter Schaar übt Kritik. Seiner Meinung nach müssten Behörden hier den gleichen strengen Regelungen unterworfen werden wie Unternehmen. Behörden und Verwaltungen setzen auf EDV-gestützte Verfahren, sind untereinander vernetzt, speichern teilweise sensiblere Informationen als die meisten Unternehmen. Schaar sieht keinen Grund, warum hier mit unterschiedlichen Maßstäben bemessen wird.

„Eine solche Informationspflicht motiviert die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun. Ich kann überhaupt nicht nachvollziehen, warum hier für Datenschutzverstöße staatlicher und privater Stellen unterschiedliche Maßstäbe angelegt werden.“

Er empfiehlt, das Berliner Landesdatenschutzgesetz zum Vorbild zu nehmen. Dies sieht in § 18 a BlnDSG bereits die Meldepflicht für Behörden vor.

Wie ist Ihre Meinung dazu? Hinterlassen Sie einen Kommentar, diskutieren Sie mit.

Hilfreiche Datenschutz-Links

  • Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
  • Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
  • Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
  • Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
  • Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.