BSI veröffentlicht Lagebericht 2020 zur IT-Sicherheit in Deutschland

Die IT-Sicherheitslage bleibt dynamisch und angespannt – zu diesem Schluss kommt der Lagebericht, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) für 2020 veröffentlicht hat. Die Cyber-Sicherheitsbehörde des Bundes gibt damit einen umfassenden Überblick über die cyber-kriminellen Bedrohungen in Deutschland. Zudem nennt der Bericht die Lösungen und Gegenmaßnahmen des BSI für Staat, Wirtschaft und Gesellschaft.

Laut Lagebericht griffen Kriminelle mittels Schadprogramme massenhaft Privatpersonen, Unternehmen, Behörden und andere Institutionen an. Eine zentrale Rolle spielt dabei nach wie vor Ransomware, bei der die Opfer beispielsweise durch Verschlüsselung am Zugriff auf ihre Daten zunächst gehindert und dann erpresst werden. Diese Bedrohung gefährdet sowohl die Daten von Unternehmen und Behörden als auch von sonstigen Institutionen und Privatanwendern.

Auch auf neue Entwicklungen wie die Corona-Pandemie stellen sich Cyber-Kriminelle schnell ein und finden Möglichkeiten für neue Formen krimineller Handlungen. Zu den genutzten Methoden gehören hierbei beispielsweise Phishing-Kampagnen, CEO-Fraud und Betrugsversuche mit IT-Mitteln. So wurden Soforthilfe-Maßnahmen durch gefälschte Antragswebseite missbraucht, indem Kriminelle abgefangene unternehmensbezogene Daten für die Beantragung staatlicher Hilfsgelder nutzten. Daten-Leaks und Schwachstellen in Software-Produkten bieten weitere große Einfallstore für Cyber-Kriminelle.

Der Lagebericht des BSI kann hier heruntergeladen werden.

KPMG-Studie zur Wirtschaftskriminalität: Betroffen sind vor allem die anderen

Mehr als drei Viertel (78 Prozent) der Unternehmen in Deutschland schätzen das grundsätzliche Risiko von Wirtschaftskriminalität als hoch oder sehr hoch ein. Dass das eigene Unternehmen betroffen sein könnte, befürchten hingegen nur 30 Prozent der Befragten.

Zu diesem Ergebnis kommt die Studie „Wirtschaftskriminalität in Deutschland 2020“ der Wirtschaftsprüfungsgesellschaft KPMG, an der 1000 Unternehmen in Deutschland teilgenommen haben.

Erklären lässt sich diese widersprüchliche Risikobewertung durch die Einschätzung des eigenen Schutzniveaus: Bei den kleineren Unternehmen gaben 85 Prozent der Befragten, bei den großen Unternehmen sogar 92 Prozent an, sich gut oder sogar sehr gut geschützt zu fühlen

Ein hohes Schutzniveau hat auch durchaus einen Effekt: Unternehmen, die sich selbst keine ausreichenden Schutzvorkehrungen attestierten, gaben doppelt so häufig an, von Wirtschaftskriminalität betroffen gewesen zu sein wie die Unternehmen mit sehr guten Vorkehrungen (34 Prozent zu 17 Prozent).

Als bevorzugte Präventivmaßnahmen werden Verhaltensgrundsätze und Leitbilder im Unternehmen genannt. Acht von zehn Unternehmen nennen dies als bevorzugtes Mittel. Mehr als jedes zweite Unternehmen vertraut auf externe Unterstützung bei der Aufklärung oder Untersuchung wirtschaftskrimineller Handlungen.

Auch beim Thema Compliance setzen immer mehr Unternehmen auf digitale Werkzeuge. Vor allem beim Compliance-Reporting und Due Diligence-Prüfungen Dritter werden digitale Tools eingesetzt. Als Gründe nennen die Unternehmen vor allem Effizienzsteigerung (79 Prozent) sowie bessere Prävention (71 Prozent). Als größte Herausforderung bei der Digitalisierung von Compliance wird in erster Linie der Mangel an Ressourcen gesehen.

Spannende Informationen zu den Themen Compliance und Datenschutz finden sich auf der Themenseite der DGQ. Sie interessieren sich für eine Ausbildung im Bereich Compliance? Weitere Informationen finden Sie hier.

Neu: E-Learning zum Thema Datenschutz

Für annähernd alle Organisationen, die in der europäischen Union tätig sind, war der 25. Mai 2018 ein wichtiges Datum: An diesem Tag trat die Europäische Datenschutzgrundverordnung in Kraft. Seitdem unterliegen Organisationen strengen Regeln bei der Verarbeitung personenbezogener Daten. Die Umstellung hat zu einiger Hektik geführt. Diese hat sich zwar mittlerweile gelegt – aber auch nach über eineinhalb Jahren ist die Relevanz des Themas geblieben. Niemand kommt seitdem am Thema Datenschutz vorbei. (mehr …)

1 Jahr EU-DSGVO: Wie gut kennen Sie sich aus?

Vor rund einem Jahr – am 25. Mai 2018 – ist die EU-Datenschutz-Grundverordnung zur Anwendung gekommen. Wie gut sind Sie informiert? Wissen Sie, wo es im Büroalltag Risiken für den Schutz sensibler Daten gibt? Testen Sie Ihr Wissen in unserem Bilder- und Videorätsel.

 

 

Ein Jahr EU-DSGVO – kostenfreies Webinar liefert Impulse für die Umsetzung

Am 25. Mai 2019 wird die EU-Datenschutz-Grundverordnung ein Jahr alt. Ein guter Zeitpunkt, um ein Fazit zu ziehen. Im kostenfreien DGQ-Webinar am 24. Mai werfen Sie mit unserem Datenschutz-Experten einen Blick auf die Untiefen der DSGVO – und können abschätzen, wo möglicherweise noch Handlungsbedarf besteht. Sie erfahren, welche Hilfen zur Verfügung stehen, um die Anforderungen DSGVO im Unternehmen angemessen umzusetzen. Zudem werden die Prozesse thematisiert, die ein Unternehmen etabliert haben sollte, und verdeutlicht, was ISO-Managementsystemstandards mit Datenschutz zu tun haben.

Zum Webinar anmelden

Gegenüberstellung von EU-DSGVO zur ISO High Level Structure

Die Integration der EU-Datenschutz-Grundverordnung in ISO-Managementsysteme schafft Synergien und schont Ressourcen. In welchen Punkten sich die EU-DSGVO und die ISO High Level Structure überschneiden haben in einer übersichtlichen Tabelle für Sie zusammengestellt. In dem Vergleich sind die Artikel der EU-DSGVO und die Kapitel der High Level Structure gegenübergestellt und kommentiert, sodass sich Interessierte leicht zurechtfinden.

Die Gegenüberstellung ist auf der DGQ-Themenseite Datenschutz und Compliance als Download verfügbar. Gegenüberstellung herunterladen

Integration der EU-Datenschutz-Grundverordnung in ISO-Managementsysteme schafft Synergien

Neues DGQ-Training hilft bei der Umsetzung

Die Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen, kostet Unternehmen Ressourcen und Zeit. Doch der Aufwand lohnt sich – nicht nur, um Bußgelder zu vermeiden. Gelebter Datenschutz ist ein Qualitätsmerkmal, das das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern stärkt.

Organisationen, die bereits Managementsysteme nach der ISO High Level Structure implementiert haben, schaffen wertvolle und ressourcenschonende Synergien. Denn die EU-DSGVO und ISO-Managementstandards überschneiden sich in vielen Punkten. Welche das sind, berichtet Experte Volker Caumanns im DGQ-Fachbeitrag „Datenschutzmanagement – Zertifizierungen und ISO High Level Structure DSGVO und die ISO High Level Structure“. Eine Gegenüberstellung ist zudem auf der DGQ-Themenseite Datenschutz und Compliance als Download verfügbar. Gegenüberstellung herunterladen

Die DGQ bietet zur Integration der EU-DSGVO in ein bestehendes ISO Managementsystem das passende Training an. Im zweitägigen Seminar „Professionelle Integration von Datenschutz nach EU-DSGVO in ISO-Managementsysteme“ erfahren Teilnehmer alles, was es dabei zu beachten gilt. Sie erhalten Antworten auf Fragen wie „Welche Verantwortlichkeiten sollten festgelegt werden?“ und „Was sollten diese umfassen?“.

Das erste Training findet vom 22. bis 23. August in Berlin statt. Mehr erfahren

Datenschutzmanagement – Zertifizierungen und ISO High Level Structure

Zertifizierungen gemäß DS-GVO

Die Deutsche Akkreditierungsstelle (DAkkS) nimmt seit 1. Januar 2019 Anträge für die Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065 an. Der Akkreditierungsprozess läuft in 6 Phasen, die Befugnis zur Ausgabe entsprechender Zertifikate erfolgt bei erfolgreicher Prüfung in Phase 5 (Phase 6 ist die Überwachung der akkreditierten Zertifizierungsstellen).

Diese Akkreditierungen beziehen sich gemäß dem Anwendungsbereich der ISO/IEC 17065 auf Produkte, Prozesse und Dienstleistungen. Nicht jedoch auf Datenschutzmanagementsysteme, wie man aufgrund der Anforderungen des Kapitels IV der DS-GVO erwarten könnte. (mehr …)

Die neue EU-Datenschutz-Grundverordnung: Verbesserter Datenschutz aus Sicht der DGQ dringend erforderlich

• Jedes zweite Unternehmen in Deutschland ist Opfer von Cyberkriminalität
• EU-Datenschutz-Grundverordnung: Unternehmen müssen handeln
• Die Deutsche Gesellschaft für Qualität (DGQ) unterstützt Unternehmen und IT-Verantwortliche mit notwendigen Weiterbildungen und Trainings

Nach den Ergebnissen einer Studie des Digitalverbands Bitkom („Wirtschaftsschutz in der digitalen Welt“) von Juli 2017 gilt bereits jedes zweite Unternehmen in Deutschland (53 Prozent) als Opfer digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Pro Jahr entsteht der deutschen Industrie dadurch ein Gesamtschaden von rund 51 Milliarden Euro. Sobald Cyberkriminalität zum Verlust personenbezogener Daten führt, ist dies für den Datenschutz relevant. Laut einer repräsentativen Befragung von Bitkom zu Beginn des Jahres haben jedoch 65 Prozent der Unternehmen in Deutschland weniger als eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutzthemen befassen. Damit ist spätestens Ende Mai 2018 Schluss. Mit der dann gültigen EU-Datenschutz-Grundverordnung (EU-DSGVO) werden Unternehmen in die Pflicht genommen, ihre Datenpolitik an die Anforderungen des digitalen Zeitalters anzupassen.

„Bei allem Umsetzungsaufwand für die Unternehmen zeigen allein die Zahlen zum Datenmissbrauch, dass ein zentraler europäischer Ansatz zur Verbesserung des Datenschutzes sinnvoll ist“, erklärt Claudia Welker, geschäftsführendes Vorstandsmitglied der Deutschen Gesellschaft für Qualität. „Aus unserer Sicht sind IT-Sicherheit und Datenschutz klare Qualitätsmerkmale, die gerade in Zeiten fortschreitender Digitalisierung zunehmend an Bedeutung gewinnen.“

Um die Zugkraft der EU-DSGVO zu erhöhen, werden datenschutzrechtliche Verstöße noch teurer als bisher. Wer den empfindlichen Bußgeldern von bis zu 20 Millionen Euro (oder vier Prozent des globalen Unternehmensumsatzes) entgehen will, muss schnellstmöglich aktiv werden. Neben der Einführung entsprechender Sicherheitstechnik ist der gezielte Wissensaufbau ein wichtiges Kernelement. Die Deutsche Gesellschaft für Qualität (DGQ) bietet dafür die notwendigen Weiterbildungen und Trainings an.

Datendelikte sind längst keine Einzelfälle mehr

Das Bundeskriminalamt verzeichnet eine kontinuierlich steigende und zunehmend organisierte Kriminalitätsentwicklung im Bereich Cybercrime. Laut Bitkom wurden bereits in jedem sechsten Unternehmen (17 Prozent) sensible Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) waren dabei Ziel der Angriffe. In 17 Prozent der Deliktsfälle wurden Kundendaten entwendet, in 11 Prozent waren es Patente oder Daten aus Forschung und Entwicklung, in 10 Prozent Mitarbeiterdaten. „Die Fakten geben Anlass zur kritischen Reflexion. Datenschutzdelikte sind längst keine punktuellen Einzelfälle mehr. In einer digitalisierten und vernetzten Zeit wie heute muss der bedachte und konforme Umgang mit kritischen Daten oberste Priorität haben“, kommentiert Dirk-Michael Mülot, freier Sachverständiger in den Bereichen Datenschutz, Datensicherheit und IT-Forensik sowie Leadreferent zum Thema Datenschutz für die DGQ. „Umso wichtiger sind länderübergreifend verpflichtende Regelungen, wie sie die EU-Datenschutz-Grundverordnung beschreibt. Ein einheitliches Datenschutzniveau schafft nachhaltige Strukturen in der Verarbeitung personenbezogener Daten und sorgt für mehr Sicherheit aller Verbraucher im europäischen Raum“, ergänzt Mülot.

Kein Spielraum: Die neue Rechtslage schafft Verbindlichkeit

Unternehmen können die neue Verordnung nicht „aussitzen“. Sie müssen aktiv werden, um nicht ins Fadenkreuz der Aufsichtsbehörden zu gelangen. In einem ersten Schritt bedeutet das eine Auseinandersetzung mit der bestehenden Sicherheitsarchitektur des eigenen Unternehmens. Eine Analyse zum Schutz und Risiko für die personenbezogenen Daten im Unternehmen ist dafür eine grundlegende Ausgangsbasis. Darauf aufbauend werden konkrete Maßnahmen zur Anpassung an die Anforderungen der neuen EU-Datenschutz-Grundverordnung ermittelt. Doch gerade im Mittelstand besteht noch Handlungsbedarf. Laut einer Studie des Beratungsunternehmens techconsult GmbH („Security Bilanz Deutschland“) verfolgen gerade einmal 13 Prozent der Unternehmen die konkrete Umsetzung der EU-DSGVO. „Die Bußgelder fallen weit höher aus als die Investitionen in die Anpassung an die EU-DSGVO. Unternehmen sind gut beraten, jetzt schnell zu handeln“, sagt Dirk-Michael Mülot. „Ungeachtet der neuen Verordnung sollte jedes Unternehmen Interesse daran haben, relevante Prozesse möglichst transparent und kontrollierbar zu machen. Gerade in einer digitalisierten Welt ist Datenschutz keine einmalige Angelegenheit, sondern erfordert kontinuierliche Kontrolle und Flexibilität in Hinblick auf immer neu auftauchende Bedrohungen und Risiken“, fügt Mülot hinzu.

Weiterbildungsangebot der DGQ unterstützt bei der Umsetzung

Die Umstellung auf das neue EU-Datenschutzrecht ist insbesondere für Unternehmen, die nicht über spezialisierte Fachkräfte und gut aufgestellte Sicherheitsabteilungen verfügen eine klare Herausforderung. Die DGQ bietet mit ihrem Weiterbildungsangebot im Bereich Datenschutz entsprechende Unterstützung an. Je nach Bedürfnis- und Kenntnisstand vermitteln die angebotenen Webinare, Lehrgänge und Seminare das notwendige Expertenwissen, um die Umstellung auf die EU-DSGVO sicher durchzuführen und die Anforderungen im Tagesgeschäft umzusetzen. Alle Informationen und Angebote rund um die Themen Datenschutz und Compliance sowie ein Whitepaper mit den wichtigsten Anforderungen der neuen EU-DSGVO stellt die DGQ auf einer Themenseite zur Verfügung. Mehr erfahren

Über die DGQ

Die Deutsche Gesellschaft für Qualität (DGQ) unterstützt Unternehmen dabei, mit hochwertigen Produkten und Dienstleistungen erfolgreich am Markt zu bestehen. Als zentrale, deutsche Qualitätsgesellschaft ist die DGQ erster Ansprechpartner für Qualität, Qualitätsmanagement und Qualitätssicherung. Das einzigartige Netzwerk der DGQ vereint über 6.000 Qualitätsexperten in mehr als 4.000 Unternehmen aller Größen und Branchen. Berufseinsteiger, Fachexperten und Manager nutzen den direkten Erfahrungsaustausch in deutschlandweit über 70 Regional- und Fachkreisen. Das DGQ-Netzwerk bietet die vielseitigste und umfassendste Plattform zum Austausch von Wissen, Praxiserfahrungen und Trends rund um qualitätsrelevante Themen. Die DGQ engagiert sich in nationalen und internationalen Initiativen, Partnerschaften, Gremien zur Gestaltung zentraler Normen sowie Innovations- und Forschungsprojekten. Mit rund 300 Trainern und 1.000 praxisbezogenen Trainings stellt die DGQ ein breites Weiterbildungsangebot zur Verfügung und erteilt im Markt anerkannte Personenzertifikate. Sie trägt wirkungsvoll dazu bei, „Qualität Made in Germany“ als Erfolgsprinzip in Wirtschaft und Gesellschaft zu verankern. Dabei sichert die DGQ bestehendes Know-how. In einer Welt der Transformation entwickelt sie zudem neue Qualitätsansätze für die Zukunft.

Ihre Ansprechpartner

Unternehmenskommunikation DGQ   
Hinrich Stoldt
August-Schanz-Str. 21A
60433 Frankfurt am Main
Telefon: +49 69 95424-170
E-Mail: hinrich.stoldt@dgq.de

DGQ-Pressestelle, c/o Klenk & Hoursch
Karin Junggeburth
Uhlandstraße 2
60314 Frankfurt am Main
Telefon: +49 69 719168-150
E-Mail: karin.junggeburth@klenkhoursch.de

 

Test: Datenschutz am Arbeitsplatz – kennen Sie sich aus?

Heutzutage werden fast überall im Unternehmen sensible und/oder personenbezogene Daten verarbeitet. Kein Wunder also, dass nahezu jede Mitarbeiterin und jeder Mitarbeiter im Büro auch mit dem Thema Datenschutz konfrontiert wird. Egal ob es sich um Personalakten, Teilnehmerlisten zu einer Veranstaltung oder einen Mailverteiler handelt – im Umgang mit diesen Daten ist Vorsicht geboten.

Wissen Sie, wo es im Büroalltag Risiken für den Schutz sensibler Daten gibt? Testen Sie Ihr Wissen in unserem kleinen Bilder- und Videorätsel.

 

 

» Sie möchten Ihr Wissen zum Thema Datenschutz erweitern?
Dann melden Sie sich für das E-Learning “Datenschutzkonform am Arbeitsplatz” an!

Bundesamt für Sicherheit in der Informationstechnik (BSI) veranstaltet European Cyber Security Month

Im Oktober 2017 findet erneut der European Cyber Security Month (ECSM) statt. Jede Woche steht hierbei unter einem eigenen Motto. Den Auftakt bildete das Thema “Cyber-Sicherheit am Arbeitsplatz”. Im Zeitraum vom 09. – 15. Oktober 2017 steht das Thema “Sicherheit und Schutz persönlicher Daten” im Mittelpunkt.

Der ECSM sensibilisiert seit 2012 europaweit Bürgerinnen und Bürger sowie Organisationen für den verantwortungsbewussten Umgang im Internet und mit digitalen Medien. Zum ESCM bieten unter Federführung der europäischen IT-Sicherheitsbehörde European Union Agency for Network and Information Security (ENISA) die Mitgliedstaaten der Europäischen Union verschiedene Veranstaltungen, Informationen und andere Aktionen an. In Deutschland unterstützt und koordiniert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aktivitäten.

Weitere Informationen zum ECSM finden Sie auf der Aktionsseite des BSI.

Alle Aktionen (on- und offline) für Bürgerinnen und Bürger, Unternehmen, Verwaltungen und Interessenten aus der Wissenschaft finden Sie im Veranstaltungskalender auf der Aktionsseite.

 

Sie möchten mehr über das Thema Datenschutz und Digitalisierung erfahren? Auf unserer Themenseite Datenschutz und Compliance finden Sie eine Übersicht aller Beiträge, Whitepaper und Checklisten zu diesem Thema.

Fragebogen des BayLDA zur EU-DSGVO auf Deutsch und Englisch

Die Fragen zielen auf die Umsetzung der EU-DSGVO ab und können zur Selbsteinschätzung der Umsetzung intern genutzt werden. Auf Grund der großen Nachfrage wurde der Fragebogen nachträglich auch auf Englisch veröffentlicht.

Die Dokumente können Sie beim BayLDA herunterladen:

• Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018 (Deutsch)
• Questionnaire for GDPR implementation on 25 May 2018 (Englisch)

 

DGQ-Checkliste für die ersten 100 Tage als Datenschutzbeauftragte/r

• Die ersten 100 Tage als Datenschutzbeauftragte/r

Checkliste: Die ersten 100 Tage als Datenschutzbeauftragte/r

Sind Sie ganz frisch zum/zur Datenschutzbeauftragten  bestellt worden oder sollen diese verantwortungsvolle Aufgabe in Zukunft ausführen? Um die ersten 100 Tage als Datenschutzbeauftragter erfolgreich zu meistern, sollten Sie möglichst schnell mit der Implementierung eines Datenschutzmanagementsystems (DSMS) beginnen bzw. das bestehende DSMS an die Anforderungen der EU-DSGVO anpassen. Denn ein durchdachtes DSMS verhindert nicht nur hohe Bußgelder, sondern stellt auch ein Qualitätsmerkmal eines Unternehmens für Geschäftspartner und Kunden dar.

Welche weiteren Schritte auf Sie warten, haben wir im aktuellen Beitrag Checkliste: Die ersten 100 Tage als Datenschutzbeauftragte/r für Sie zusammengefasst. Die Checkliste steht Ihnen darüber hinaus zum Download bereit und benennt Ihre wichtigsten Aufgaben in den ersten Tagen.

Kurzpapiere zur Anwendung der EU-DSGVO veröffentlicht

Nach der Übergangsphase von 2 Jahren tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 in Kraft.

Die unabhängigen Datenschutzbehörden von Bund und Ländern befassen sich nun intensiv mit den neuen Anforderungen und veröffentlichen Kurzpapiere als erste Ergebnisse. Die Kurzpapiere dienen der ersten Orientierung zur praktischen Anwendung der EU-DSGVO.

Die ersten Kurzpapiere können bei den Aufsichtsbehörden abgerufen werden:

• Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten (PDF-Datei, 300 kB)
• Kurzpapier Nr. 2 – Aufsichtsbefugnisse/Sanktionen (PDF-Datei, 295 kB)
• Kurzpapier Nr. 3 – Verarbeitung personenbezogener Daten für Werbung (PDF-Datei, 300 kB)

Die Frist läuft: Die neue EU-Datenschutz-Grundverordnung kommt

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt nach zwei Jahren Übergangszeit ab dem 25. Mai 2018. Datenschutz ist daher ein allgegenwärtiges Pflichtthema für Unternehmen und Behörden sowie für medizinische und soziale Facheinrichtungen. Für Unternehmen und Organisationen heißt es jetzt Endspurt, um bis Mai 2018 die Prozesse den neuen Regelungen der Datenvereinbarung anzupassen. Zeitnah muss geprüft werden, ob die bestehenden Regelungen zum Datenschutz den neuen Anforderungen genügen.

Was sollte nun auf Ihrer To-Do-Liste stehen? Dirk-Michael Mülot hat die fünf wichtigsten To-Dos im DGQ Blog für Sie zusammengefasst: Die neue Datenschutz-Grundverordnung – Es ist fünf vor zwölf!

Interview: „Datenschutz und Qualitätsmanagement sind eng miteinander verbunden“

Das Thema Datenschutz gewinnt mehr und mehr an Bedeutung – vor allem, seit die neue EU-Datenschutz-Grundverordnung im Mai 2016 in Kraft getreten ist. Die Redaktion sprach mit DGQ-Trainer Dirk Michael Mülot darüber, wie Unternehmen Synergien zwischen Qualitätsmanagement und Datenschutz schaffen können und welche Fähigkeiten ein Datenschutzbeauftragter haben sollte. Mülot ist selbst zertifizierter Datenschutzbeauftragter, -manager und -auditor und als freier Sachverständiger in den Bereichen Datenschutz, Datensicherheit und IT-Forensik tätig.

DGQ-Redaktion: Warum ist Datenschutz aktuell so wichtig für Unternehmen?

Dirk-Michael Mülot: Datenschutz ist ein allgegenwärtiges Pflichtthema für Unternehmen und Behörden sowie für medizinische und soziale Facheinrichtungen. Dieses Jahr wurde die EU-Datenschutz-Grundverordnung (DS-GVO) veröffentlicht, was die Aktualität des Themas unterstreicht. Die Richtlinie wird in Mai 2018 in Kraft treten. Unternehmen und Organisationen haben somit zwei Jahre Zeit, ihre Prozesse den neuen Regelungen der Datenvereinbarung anzupassen. Eine knappe Frist. Der Aufbau eines prüffähigen Datenschutzmanagementsystems sowie die konsequente Durchführung einer Risiko-Folgeabschätzung verlangen aktives Handeln und kompetente Fachleute. Nur durch die frühzeitige Einführung entsprechender Maßnahmen und den Einsatz erfahrener Fachkräfte sind die Herausforderungen in der gegebenen Frist umsetzbar.

Wer kann Datenschutzbeauftragter werden?

Dirk-Michael Mülot: Zum / zur Datenschutzbeauftragen kann jede Person ernannt werden, die über eine nachweisbare Fachqualifizierung verfügt sowie die notwendigen Charaktereigenschaften und einen hohen Grad an Zuverlässigkeit besitzt. Strukturiertes und selbstständiges Arbeiten mit hohem Durchsetzungsvermögen und sozialer Kompetenz sind weitere wesentliche Fähigkeiten. Selbstverständlich darf der / die Datenschutzbeauftragte keine Interessenskonflikte aufgrund anderer ausgeübter Ämter haben. Mitarbeiter die eine Leitungsfunktion in z.B. IT, Personal, Marketing oder Geschäftsführung haben, können nicht als Datenschutzbeauftragte tätig werden. Ansonsten gibt es keine Einschränkungen oder ein vorgeschriebenes Anforderungsprofil.

Sind Qualitätsmanager als Datenschutzbeauftragte geeignet und wenn ja, warum?

Dirk-Michael Mülot: Qualitätsmanager eignen sich sehr gut als Datenschutzbeauftragte, da sie die Prozesse und Verfahren der jeweiligen Einrichtungen sehr genau kennen. Das erleichtert das Verständnis für komplexe Abläufe im Unternehmen und sorgt für einen schnelleren Durchblick. QMBs müssen aber auch über die notwendige datenschutzrelevante Fachkunde verfügen. So ergeben sich zwangsläufig Synergien zwischen Qualitätsmanagement und Datenschutz, die man im Unternehmen nutzen sollte, um die datenschutzrechtlichen Anforderungen ausfindig zu machen und zu erfüllen.

Inwieweit sehen Sie eine Verbindung zwischen Datenschutz und Qualitätsmanagement?

Dirk-Michael Mülot: Datenschutz und Qualitätsmanagement sind eng miteinander verbunden. Aufbau, Einführung und Aufrechterhaltung eines Datenschutzmanagementsystems (DSMS) sollte unbedingt in ein bestehendes QM-System integriert werden. Das erspart zum einen unnötigen Mehraufwand und sorgt zum anderen für mehr Sicherheit. Bestehende Prozesse, welche auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen der Mitarbeiter, der Kunden sowie der Kooperationspartner und sind entscheidend für die Zusammenarbeit der einzelnen Parteien. Prozesse und Daten – insbesondere personenbezogene Daten – unterliegen einem hohen Qualitätsanspruch. Nicht zuletzt sind Qualitätsmanagement und Datenschutz beide oftmals Garanten für reibungslose Prozessabläufe und Entscheidungen.

Was erwartet mich als neu ernannter Beauftragter für Datenschutz?

Dirk-Michael Mülot: Sie erwartet ein hoch interessantes und abwechslungsreiches Aufgabengebiet. Durch Ihre Kompetenz sichern Sie die Nachhaltigkeit der geschäftlichen Aktivitäten. Als interner Berater zu allen Fragen rund um das Thema Datenschutz tragen Sie dazu bei, die Prozesse im Unternehmen aus wirtschaftlicher und unternehmerischer Sicht aber auch datenschutzrechtlich auf sichere Füße zu stellen. Durch Ihre Kompetenz mindern Sie Risiken, wie z.B. Bußgelder, Schadensersatz und Strafverfahren erheblich und schließen Sie im besten Fall gänzlich aus. Durch die EU-Datenschutz-Grundverordnung wird die Position von Datenschutzbeauftragten weiter gestärkt. Das ist umso wichtiger und richtig, da Datenschutz in nahezu alle Bereiche eines Unternehmens hineinstrahlt.

Training
Datenschutzbeauftragter
Fachkundeseminar nach BDSG und EU-Datenschutzgrundverordnung

Termin
6. bis 9. Juni 2017 in Frankfurt am Main

27. bis 30. November 2017 in Köln (Brühl)

Weitere Informationen zum Datenschutz-Training >>

Interessenten erhalten weitere Informationen bei:
Andreas Heinz
DGQ-Produktmanager
T 069 95424-257

DGQ hat neue Weiterbildung zur Position des Datenschutzbeauftragten im Programm

Der Umgang mit personenbezogenen Daten ist seit jeher eine heikle Angelegenheit – erst recht, seit die Entwicklung moderner Technik deren massenhafte Verarbeitung ermöglicht. Der Schutz solcher Daten ist für Privatpersonen ein verbrieftes Grundrecht und wird in Deutschland durch das Bundesdatenschutzgesetz geregelt. Dieses trat in seiner ersten Fassung 1978 in Kraft und hat bis zuletzt (Anfang 2016) eine Vielzahl von Anpassungen erfahren; es setzt bis heute die 1995 veröffentlichte EU-Richtlinie  95/46/EG in nationales Recht um.

EU-weit einheitliches Datenschutzrecht mit Hintertürchen

Die neue EU-Datenschutz-Grundverordnung, die nach fünfjähriger Entwicklungsarbeit am 25. Mai 2016 in Kraft trat und nach einer Übergangszeit von zwei Jahren Anwendung finden wird, ist nun nicht mehr als EU-Richtlinie ausgelegt, die noch von den Mitgliedsstaaten an das jeweilige nationale Recht angepasst werden muss. Die Verordnung ist in ihrem Wortlaut für alle Mitgliedssaaten verbindlich und wird insofern das aktuelle deutsche Bundesdatenschutzgesetz dadurch in weiten Teilen auch ersetzen.

Allerdings enthält die Verordnung eine Fülle so genannter Öffnungsklauseln, die es den Mitgliedsstaaten letztlich doch erlauben werden, an der einen oder anderen Stelle nationale Lösungen umzusetzen. Gleichwohl kann nun von einem europaweit einheitlichen Datenschutzrecht gesprochen werden, das auch Angebote an EU-Bürger aus Drittländern betrifft und bisher bestehende Wettbewerbsverzerrungen beseitigt.

Bewährte Datenschutz-Standards bleiben erhalten

Für Unternehmen und öffentliche Stellen in Deutschland haben sich mit der Novelle eine Reihe von Änderungen ergeben. Diese können jedoch in Summe nicht als eklatant bezeichnet werden, da sich die neue EU-Verordnung zu einem Gutteil an das bestehende, durchaus umfassende deutsche Datenschutzrecht anlehnt. Nach wie vor gilt beispielsweise das so genannte „Verbot mit Erlaubnisvorbehalt“, eine Regelung, die sicherstellt, dass der Umgang mit persönlichen Daten solange verboten ist, bis er entweder gesetzlich genehmigt oder von der betreffenden Person erlaubt wurde. Auch die Grundsäulen des Datenschutzes – Zweckbindung, Datensparsamkeit und Transparenz – sind weiterhin erhalten, teils sogar verschärft, was den allgemeinen Trend zu Big Data vorerst ein wenig ausbremsen könnte.

Und der Datenschutzbeauftragte?

Eine auf den ersten Blick nicht unerhebliche Änderung betrifft die Position des Datenschutzbeauftragten. Zwar wird nun EU-weit in Organisationen unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Einhaltung der einschlägigen Vorschriften sorgen, allerdings nach etwas anderen Kriterien, als es das bislang gültige Bundesdatenschutzgesetz vorsieht. Dort ist die Position des Datenschutzbeauftragten mit der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter verknüpft – für öffentliche Stellen ab 20 Mitarbeiter, für nichtöffentliche ab zehn Mitarbeiter.

Aus Artikel 37 Abs. 1 der neuen Verordnung geht hervor, wann wegen des Bedarfs einer entsprechenden Kontrolle die Pflicht zur Bestellung eines (behördlichen oder betrieblichen) Datenschutzbeauftragten besteht:

• „Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“
• „Wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Die Bindung an die Anzahl der mit der Datenverarbeitung betrauten Mitarbeiter ist weggefallen. Auch hier gibt es allerdings eine Öffnungsklausel, die modifizierte Kriterien zulässt. Es kann davon ausgegangen werden, dass Deutschland diese Möglichkeit wahrnimmt und hinsichtlich der Bestellung des Datenschutzbeauftragten eine Lösung wie im bisherigen Bundesdatenschutzgesetz anstrebt.

Unabhängig davon kann und sollte die Position des Datenschutzbeauftragten unbedingt auch unter Qualitätsaspekten gesehen werden. Die freiwillige Beibehaltung oder Neueinrichtung der Position – auch vor dem Hintergrund eines daraus möglicherweise entstehenden Wettbewerbsvorteils – erscheint damit zusätzlich als sinnvoll.

DGQ bietet Datenschutz-Schulungen an

Die DGQ geht davon aus, dass in vielen Organisationen im Zusammenhang mit der Anwendung der neuen EU-Datenschutz-Grundverordnung ab Sommer 2018 bereits im Vorfeld ein erhöhter Schulungsbedarf entstehen wird:

• für bereits benannte Datenschutzbeauftragte, die die neue Verordnung kennenlernen möchten,
• für Mitarbeiter von Unternehmen, die mit der neuen Verordnung erstmals zur Bestellung eines Datenschutzbeauftragten verpflichtet sind
• oder für Mitarbeiter von Organisationen, die sich freiwillig zur Einrichtung der Position entscheiden.

Um die dadurch entstehende Nachfrage nach professioneller Schulung zu decken, hat die DGQ ein Veranstaltungsprogramm entwickelt, das ab März 2017 mit einer Reihe viertägiger Lehrgänge zum Datenschutzbeauftragten beginnen wird. Weitere Informationen zu den Datenschutz-Trainings

Besuchen Sie unsere Themenseite: Finden Sie hier Downloads, Blogbeiträge, Veranstaltungshinweise und Aktuelles zu unseren Themen Datenschutz und Compliance.

Datenschutz im Unternehmen: Wichtiges Qualitätsmerkmal

Beschäftigt ein Unternehmen mindestens zehn Mitarbeiter mit personenbezogener Datenverarbeitung, muss es einen Datenschutzbeauftragten bestellen. Dessen erforderliche Fachkunde muss dabei gewährleistet sein. Die DGQ Weiterbildung vermittelt die dazu erforderlichen Fachkenntnisse.

Beim Datenschutz geht es um personenbezogene Daten und deren Schutz vor Missbrauch während deren Erhebung, Verarbeitung und Nutzung. Jeder Mensch soll nach dem Grundgesetz selbst darüber entscheiden, wie mit seinen persönlichen Daten umgegangen wird. Auch für Unternehmen ist Datenschutz längst ein Thema. Das Bundesdatenschutzgesetz (BDSG) schreibt das Bestellen eines Datenschutzbeauftragten (DSB) vor, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zum Beauftragten für den Datenschutz darf laut § 4f Absatz 2 BDSG „nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“. Die Deutsche Gesellschaft für Qualität vermittelt über die DGQ Weiterbildung in vier Tagen das nötige Grundlagenwissen für die Tätigkeit als Datenschutzbeauftragter. Diese Tätigkeit ist für Unternehmen und öffentliche Einrichtungen von großer Bedeutung. Andreas Heinz, Produktmanager der DGQ Weiterbildung, erklärt: „Sowohl Unternehmen als auch Kunden nehmen Datenschutz heute als wichtiges Qualitätsmerkmal wahr“. Vor diesem Hintergrund bietet die DGQ ab März 2017 ein Training an, um künftigen Datenschutzbeauftragten die gesetzlich geforderte Fachkunde zu vermitteln. Diese Tätigkeit ist für Unternehmen und öffentliche Einrichtungen von großer Bedeutung, zumal die EU-Datenschutz-Grundverordnung ab 2018 in Kraft treten wird und hier die Pflichten und Haftungsrisiken für Unternehmen und Behörden erheblich ausgeweitet werden.

Qualifizierung zum DGQ-Datenschutzbeauftragten

Der professionelle Datenschutz in Unternehmen, Behörden und kommunalen Einrichtungen wird vom Know-how und dem Verantwortungsbewusstsein des DSB getragen. Denn er übernimmt einen anspruchsvollen Aufgabenbereich, der sich ständig verändert und auf dessen Anforderungen umgehend reagiert werden muss. „Neben rechtlichen Grundlagen zu Datenschutz, Aufbau- und Ablauforganisation vermittelt das DGQ Fachkunde-Seminar auch technisch organisatorische Maßnahmen eines professionellen Datenschutzes“, verdeutlicht Heinz. Den Nutzen des Seminars sieht der DGQ-Produktmanager neben dem Nachweis der gesetzlich geforderten Fachkunde vor allem im Vermeiden möglicher Bußgeldzahlungen. Zudem steige das Vertrauen bei Kunden und Partnern, wenn diese wissen, dass ihre Daten professionell vor unbefugtem Zugriff geschützt seien.

Mit dem Training richtet sich die DGQ an Datenschutzbeauftragte sowie an Personen, die zum Datenschutzbeauftragten bestellt werden. Produktmanager Heinz verspricht: „Das viertägige Training wird sich nicht nur mit den deutschen Regelungen beschäftigen, sondern zudem die Grundlagen des europäischen Datenschutzrechts – hier EU-Datenschutz Grundverordnung – thematisieren“.

Datenschutz-Update für alle DSB

Für Datenschutzbeauftragte, aber auch DSB-Unterstützungspersonal sowie Datenschutzreferenten, Datenschutzkoordinatoren oder Datenschutzassistenten bietet die DGQ zusätzlich das Tagesseminar „Datenschutz-Update“ an. Externe Datenschutzbeauftragte, die sich auf den aktuellen Stand bringen wollen, sind gleichermaßen angesprochen. Sie alle sind dazu verpflichtet, sich über aktuelle Neuerungen im nationalen und internationalen Datenschutz auf dem neuesten Kenntnisstand zu halten. „Das ist für eine Tätigkeit als Datenschutzbeauftragter unabdingbar“, sagt Heinz. Neben dem Erhalt der gesetzlich geforderten Fachkunde beurteilt der DGQ-Produktmanager den Nutzen dieses Updates pragmatisch: „Die Teilnehmer sichern ihre Geschäftsgrundlage und vermeiden Ärger mit Behörden sowie Zahlungen von hohen Bußgeldern“.

Interessenten erhalten weitere Informationen bei DGQ-Projektmanager Andreas Heinz, T. 069-95424257,  E-Mail: hei@dgq.de.