IT-Sicherheit in Krankenhäusern wird verpflichtend
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
COMPLIANCE Das Kundenmagazin
konkret
von Althammer & Kill
Ausgabe 2/2022
IT-Sicherheit
in Krankenhäusern
wird verpflichtend
Was ist jetzt zu tun?
Seite 6
Privacy Shield 2.0 Risikomanagement in der Cloud Der Compliance-Beauftragte
Licht am Ende des Ein kritischer Blick auf das Rechtstreue und
Schrems II-Tunnels? hochgelobte „Allheilmittel“ Legalitätspflicht
Seite 10 Seite 12 Seite 14
Willkommen
Editorial
Liebe Leserin, lieber Leser,
Von der Pflicht
von Mai bis Juli 2022 sind wir auf einer Roadshow mit der Firma Microsoft unter-
News wegs. Mit der Keynote „Gordischer Knoten – gelöst?“ gehen wir der Frage nach, wie
Seite 4 Microsoft 365 im Einklang mit dem Datenschutz gebracht werden kann.
zur Chance IT-Sicherheit Sehr viele Organisationen stehen vor einem großen Dilemma: Auf der einen Seite
in Krankenhäusern wollen sie datenschutzkonform und im Rahmen der gesetzlichen Vorgaben han-
wird verpflichtend deln. Stand Mai 2022 haben ausnahmslos alle Aufsichtsbehörden in Deutschland
Was ist jetzt zu tun? eine ablehnende Haltung zu Microsoft 365.
Seite 6
Auf der anderen Seite gibt es kaum nennenswerte Alternativen: In Unternehmen
Kurz vorgestellt führt (fast) kein Weg an Microsoft 365 vorbei. Das mag man verwerflich finden und
Danny Sellmann kritisieren. Microsoft hat aus der „alten“ Office-Suite eine, selbst während Pandemie-
Seite 9 zeiten, gut funktionierende Plattform gemacht, die von überall genutzt werden kann.
Privacy Shield 2.0 Letztendlich haben wir die Schuld an diesem Quasi-Monopol auch bei uns in
Licht am Ende des Europa zu suchen: In den vergangenen 25 Jahren haben wir es nicht geschafft,
Schrems II-Tunnels? eine relevante Rolle in Sachen IT und Digitalisierung zu spielen (wenn man ein-
Seite 10 mal von SAP absieht). Technologie wird in den USA und in Asien gemacht – wir
Europäer spielen keine Rolle.
Hinweisgebersystem on Demand Risikomanagement in der Cloud
Ein kritischer Blick auf das
„Wenn wir die Menschen beim Thema
von Althammer & Kill hochgelobte „Allheilmittel“
Seite 12 Datenschutz nicht verlieren wollen, müssen
wir Wege finden, moderne Werkezuge
Schnell auf Missstände reagieren. Der Compliance-Beauftragte
Reputationsschäden beheben, bevor sie entstehen.
datenschutzkonform einzusetzen.“
Rechtstreue und Legalitätspflicht
Sicher, rund um die Uhr erreichbar, barrierearm und mehrsprachig. Seite 14
Es ist richtig und wichtig, dass Aufsichtsbehörden die DSGVO und europäische
Akademie Werte verteidigen. Das ist ihre Aufgabe. Internationale IT-Konzerne haben
Als Datentreuhänder behandeln wir jede Meldung streng vertraulich.
Seite 17 noch lange nicht alle erforderlichen Anstrengungen unternommen, um hiesige
Bestimmungen zu erfüllen.
Über die Schulter geschaut
Der Berater-Alltag Zugleich dürfen wir die Sorgen und Nöte der Organisationen und Menschen
bei Althammer & Kill nicht aus dem Blick verlieren. Wenn wir die Menschen beim Thema Datenschutz
Seite 18 nicht verlieren wollen, müssen wir Wege finden, moderne Werkezuge daten-
Althammer & Kill GmbH & Co. KG schutzkonform einzusetzen.
Roscherstraße 7 · 30161 Hannover · Tel. +49 511 330603-0 Qualitätsmanagement nach Plan Wir freuen uns auf den weiter konstruktiv-kritischen Dialog mit Ihnen!
Mörsenbroicher Weg 200 · 40470 Düsseldorf · Tel. +49 211 936748-0 mit der ISO 9001:2015.
Kaiserring 10–16 · 68161 Mannheim · Tel. +49 621 121847-0
vertrieb@althammer-kill.de Thomas Althammer & Niels Kill
althammer-kill.de Mitgliedschaften
Compliance konkret 2/2022 Seite 3
News News
Darüber wird gesprochen Messen
Diese und weitere aktuelle Themen sowie die Anmeldemöglichkeit für den Lassen Sie uns ins Gespräch kommen auf einer der nächsten
Althammer & Kill-Newsletter finden Sie unter: althammer-kill.de/news Messen oder im Rahmen der Microsoft NGO-Tour:
2.–4. November 2022, München
BeB Fachtagung
https://beb-ev.de/veranstaltung/
fachtagung-dienstleistungsmanagement-2022/
Theorie und Praxis: Althammer & Kill 15.–17. November 2022, Bielefeld
kooperiert mit Hochschule Hannover KommDigitale
https://kommdigitale.de/
Das interdisziplinäre Referententeam, bestehend aus Leh-
Die Multifaktor- renden der Hochschule und Beratenden von Althammer & 7.–8. Dezember 2022, Nürnberg
Authentifizierung – eine Kill, vermittelt über ein Semester Wissen in Datenschutz und ConSozial
Wunderwaffe gegen Phishing? Change-Management. Teilnehmende können nach erfolg- https://www.consozial.de/
Volles Haus beim ersten Stopp der Microsoft NGO-Tour in Köln Die Corona-Krise hat den Wandel reichem Abschluss, mit dem Hochschulzertifikat im Gepäck,
Erleben auch Sie in Ihrer Nähe unsere Keynote „Gordischer Knoten … gelöst? Mic- hin zum Cloud-gestützten, dezent- die Stelle eines Datenschutzbeauftragten souverän antreten. 9. Juni 2022, Wiesbaden; Gastgeber: DRK LV Hessen
rosoft 365 im Kontext Datenschutz“ sowie weitere spannende Praxisvorträge zu ralen Arbeitsplatz im Home-Office 14. Juni 2022, Berlin; Gastgeber: Stephanus Stiftung
den Top-Digitalisierungsthemen im Sozialwesen. An einigen Stopps zeigen wir enorm beschleunigt. Viele Unter- Im Zertifikatskurs, der im Rahmen der Kooperation der 21. Juni 2022, Düsseldorf; Gastgeber: Ev. Christophoruswerk
zudem live, wie Security Awareness-Konzepte im Microsoft 365-Umfeld nehmen sahen sich kurzfristig Hochschule Hannover und Althammer & Kill Mitte diesen 23. Juni 2022, München; Gastgeber: Ev. Kirche von Bayern
umgesetzt werden können. Melden Sie sich jetzt kostenlos für Stopps in gezwungen, auf neue Software-as-a- Jahres stattfindet, geben wir Antworten auf verschiedenste 30. Juni 2022, Dortmund; Gastgeber: Ev. Kirche von Westfalen
Ihrer Nähe an! Service-Lösungen umzu- datenschutzrechtliche Fragen. Alle Infos zum Microsoft NGO-Tour – mehr Termine online:
stellen, um den Betrieb Kurs, der am 1. September 2022 startet, finden Sie https://www.althammer-kill.de/microsoft-roadshow-2022
aufrecht zu erhalten. online, wenn Sie dem QR-Code folgen.
8 Maßnahmen, um Cloud-
Anwendungen sicher in Ihr
Unternehmen einzuführen Bring Your Own Device – Maximale Langeweile
In den letzten Jahren lässt sich ein ein Risiko für Ihre Compliance? Unser Podcast. Jeden zweiten Donners
eindeutiger Trend erkennen: Unter- Immer mehr Unternehmen erlauben tag eine neue Folge auf Spotify, bei
nehmen ziehen von selbst betriebe- ihren Mitarbeitenden die beruf- Apple Podcast und weiteren gängigen LearnBase Release: Version 2.7
nen Servern und lokal gespeicherten liche Nutzung privater Geräte wie Podcast-Diensten
We are „principle agree“ Anwendungen zu Cloud-Diensten Smartphones, Tablets, Laptops Wir freuen uns, unser neues LearnBase-Release (Version 2.7)
to force a Schrems III von großen Tech-Unternehmen. oder auch Desktop-PCs. Derartige vorzustellen. Das Update ist in der LearnBase-Umgebung ver-
Am 25.03.2022 verkündeten Ursula Auch wenn sich die Anwendungen Bring-Your-Own-Device-Regelungen fügbar. Die Neuerungen umfassen unter anderem die Möglich-
von der Leyen (EU-Kommissions- in der Cloud befinden, müssen diese (BYOD) liegen im Trend und bringen Zahl des Monats keit des Imports von Verzeichnissen im .csv-Format sowie die
123456
präsidentin) und Joe Biden (US- administriert werden. Die Verant- Vorzüge für Arbeitnehmende und Möglichkeit, Verzeichnisse Organisationen direkt zuzuordnen.
Präsident) eine „grundsätzliche wortlichen von Unternehmen unter- Arbeitgebende, aber leider
Einigung“ über ein neues Regelwerk, schätzen häufig, wie aufwendig die auch datenschutzrecht Darüber hinaus ist der Fertigstellungsmodus für einen ganzen
das einen datenschutzkonformen Administration von Cloud-Diensten liche Risiken mit sich. Kurs auf einmal einstellbar, Kurse können abgesehen davon
Transfer zwischen den USA und der ist und stellen bzw. planen von nun an gruppiert werden. Auch die Verlängerung von
EU ermöglichen soll. Kritik ließ nicht nicht genügend Ressourcen Kaum zu glauben, doch im Jahr 2021 Kursteilnahmezeiträumen für einzelne Teilnehmende ist
lange auf sich warten – vor allem von hierfür ein. war „123456“ das am häufigsten gewählte Passwort. inzwischen möglich. Außerdem wurden Layoutanpassungen
Maximilian Schrems, dem Juristen, Naheliegende Passwörter wie dieses machen es und Bugfixes vorgenommen sowie die Bedienfreundlichkeit
Datenschutzaktivisten Hackern nur umso leichter, an personenbezogene verbessert. Bei Fragen können Sie sich gerne an
und Namensgeber der Daten zu gelangen. unser Team wenden unter:
„Schrems-Urteile“. support@learnbase.de
Seite 4 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 5
Informationssicherheit Informationssicherheit
M it dem neu geschaffenen § 75c SGB V werden alle
Krankenhäuser verpflichtet angemessene organisa-
torische und technische Vorkehrungen zur Vermeidung
Unterstützung der Organisationsleitung ist die Imple-
mentierung des B3S im Krankenhaus nicht möglich.
✓⃝● Alle Mitarbeitende sind angemessen zu informieren,
von Störungen der Verfügbarkeit, Integrität und Vertrau- um ein einheitliches Verständnis für Sicherheitsmaß-
lichkeit sowie der weiteren Sicherheitsziele ihrer informa- nahmen und Regeln zu schaffen.
IT-Sicherheit tionstechnischen Systeme, Komponenten oder Prozesse zu
treffen, die für die Funktionsfähigkeit des jeweiligen Kran-
✓⃝● Viele Sicherheitsmaßnahmen sind bereits in den
Fachabteilungen integriert. Vorhandene Maßnahmen
in Krankenhäusern
kenhauses und die Sicherheit der verarbeiteten Patienten- sind daher bei Einbringung neuer Maßnahmen zu
informationen maßgeblich sind. berücksichtigen.
wird verpflichtend –
Die informationstechnischen Systeme sind spätestens alle
zwei Jahre an den aktuellen Stand der Technik anzupassen.
In Absatz 2 verweist der Paragraf auf den branchenspezi-
was ist zu tun? fischen Sicherheitsstandard (B3S) für die informations-
technische Sicherheit der Gesundheitsversorgung im
Stichwort
B3S Krankenhaus
Krankenhaus (B3S Krankenhaus). Mit der Umsetzung des
B3S Krankenhaus können Krankenhäuser die Verpflich-
tung erfüllen. Die Einführung eines Informationssicherheits-
Mit dem Pflegedaten-Schutz-Gesetz wurde auch ein neuer Paragraf Managementsystems (ISMS) bildet die Grundlage
im fünften Sozialgesetzbuch geschaffen. Dieser hat erhebliche Mit den folgenden Schritten gelingt die praktische Umset- des B3S Krankenhaus. Dabei orientiert sich der
zung des B3S Krankenhaus. Sicherheitsstandard an internationalen Normen
Auswirkungen auf alle Nicht-KRITIS Krankenhäuser. der ISO 27001, der ISO 27799 und selbstverständlich
1. Rahmenbedingungen schaffen an den Vorgaben des BSI. Die bekannten Schutz-
ziele Verfügbarkeit, Vertraulichkeit, Integrität und
✓⃝● Der Aufbau eines Managementsystems muss durch die Authentizität werden um die Schutzziele Patienten-
Organisationsleitung unterstützt werden. Dies verhält sicherheit und Behandlungseffektivität ergänzt.
sich beim B3S Krankenhaus nicht anders. Ohne die
Seite 6 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 7
Informationssicherheit Kurz vorgestellt
2. Stellung des Die erbrachten Leistungen durch Dritte bspw. eine Daten- Die Menschen hinter was den Marketing-Bereich betrifft. Welches Projekt hat dir in dei-
Informationssicherheitsbeauftragten verarbeitung im Auftrag und/oder die Auslagerung von Althammer & Kill: Angefangen bei unseren Printpro- ner Zeit bei Althammer &
Dienstleistungen (bspw. externe Labore, externer Sicher- dukten wie das Kundenmagazin, Kill am besten gefallen?
Danny
Informationssicherheitsbeauftragte (ISB) unterstützen heitsdienst, Beschaffung, etc.) sind unbedingt zu berück- Flyer, Broschüren und Merkblätter
die Organisationsleitung in Bezug auf die IT-Sicherheit im sichtigen und nach Prüfung ggf. im Geltungsbereich mit bis zur Websitepflege, Social Media, Danny: Ein einzelnes Projekt kann
Sellmann
Krankenhaus. Er ist Dreh- und Angelpunkt und fungiert einzubeziehen. In diesem Kontext ist es wichtig, dass alle Veranstaltungen, Newsletter u. v. m. ich gar nicht hervorheben. Selbst
als Verbindungsstelle zwischen Geschäftsführung und der Schnittstellen zur Klinik analysiert und mit Fokus auf den Durch die personelle Aufstockung kleinere Projekte, die schnell abge-
medizinischen Abteilungen (z. B. IT, Medizin- und Haus- Geltungsbereich und die definierten Schutzziele einge- im Marketing, kann ich mich jetzt schlossen werden können, gefallen
technik und Datenschutz). Der ISB ist verantwortlich für die ordnet werden. einzelnen Aufgabengebieten intensi- mir genauso wie größere Projekte,
IT-Sicherheitsstruktur und entwickelt mit den Abteilungen ver widmen. wo viel im Vorfeld bedacht werden
Sicherheitsmaßnahmen, um die gesteckten Sicherheitsziele 5. Erstellung einer Leitlinie muss, damit wir am Ende unser Ziel
zu erreichen. Für den Auf- und Ausbau eines B3S Kranken- Was gefällt dir besonders an der Tätig- erreichen.
hauses ist der ISB qua Funktion der erste Ansprechpartner. IstDie Leitlinie beschreibt grundlegende Ziele und Anfor keit des Online-Marketing-Managers?
noch kein ISB im Krankenhaus implementiert, empfehlen wir derungen zur Informationssicherheit. Sie gibt den Stel- Eines der großen Projekte war z. B.
die Stellung eines/einer ISB. lenwert der Informationssicherheit Danny: Mir gefällt in erster Linie, der Relaunch der Althammer & Kill
wieder und legt die Sicherheitsstra- dass man als Online-Marke- Website. Eine Website wird nie final
3. Projektvorbereitung Die Einführung eines tegie fest. In ihr sind die allgemei- ting-Manager mit aktuellen und fertig werden, sie muss ständig in
ISMS nach B3S ist eine nen Sicherheitsziele formuliert, die zukunftsträchtigen Medien arbeitet Bewegung bleiben und wird ständig
Beim B3S Krankenhaus müssen u. a. Sicherheitsorganisation definiert und Interessenten/Kunden mit nur mit neuen Beiträgen, Ideen und
Herausforderung –
folgende Bereiche berücksichtigt und die regelmäßige Erfolgskontrol- wenigen Klicks erreichen kann, um Elementen gefüttert.
werden: Informationstechnik, Medi- mit einem zielgerichteten le und Fortschreibung geregelt. u. a. die neuesten Updates zu teilen
zintechnik, Kommunikationstechnik, Vorgehen erhöht sie jedoch Ja hallo, wer bist du denn? und zu informieren. Besonders Welche Herausforderungen ergeben
Versorgungstechnik und Daten- 6. Bestandsaufnahme in unserer Branche ist es wichtig sich für dich aus dem Marketing für
schutz. Es gilt also ein Team zu bilden,
die Informationssicherheit Danny: Ja Moin, ich bin der Danny, immer up-to-date zu bleiben. den B2B Bereich im Vergleich zum
welches sich mit den Bereichen und in Krankenhäusern Zur Bestandsaufnahme nutzt man 33 Jahre alt und komme aus Hanno- B2C Bereich?
Prozessen auskennt. Entsprechend signifikant und u. a. die Methoden der Dokumen- ver. Ich bin gelernter Einzelhandels-
muss eine geeignete Kommunika-
schützt somit das
tenprüfung, Interviews mit Prozess- kaufmann, Groß- & Außenhandels- „Besonders in Danny: Beide Bereiche haben ihre
tionsstruktur etabliert werden. verantwortlichen und Begehungen. kaufmann, habe mich neben der Vor- und Nachteile, wenn es um die
Ein zentrales Dokument, das früh- Leben der Patienten. Ziele der Bestandsaufnahme sind Arbeit zum Online-Marketing-Mana-
unserer Branche Möglichkeiten geht, neue Interes-
zeitig vorbereitet werden muss, ist die die Identifikation der Informa- ger weiterbilden lassen und arbeite ist es wichtig, senten zu erreichen. Im B2B-Bereich
Erklärung der Anwendbarkeit (oder tionswerte, die Identifikation der noch am Wochenende an meinem immer up-to- muss man mehrere Personen
auch SoA= Statement of Applicability). In diesem Dokument Bedrohungen und Schwachstellen und die Bewertung des eigenen Unternehmen „YoRocket“. ansprechen können, z. B. Mitarbei-
werden die Anforderungen gelistet. Dabei unterscheidet der aktuellen Sicherheitsniveaus auf Grundlage der Anforde-
date zu bleiben.“ tende, die sich nur informieren
B3S zwischen MUSS, SOLL und KANN Anforderungen. Die rungen aus dem B3S. Die Ergebnisse des aktuellen Sicher- Wie lange arbeitest du schon bei möchten oder für Ihr Unternehmen
Dokumentation im SoA berücksichtigt den Scope und die heitsniveaus fließen in das SoA. Nachfolgend werden die Althammer & Kill? eines unserer Produkte heraussu-
Ergebnisse der Bestandsaufnahme mit den bereits einge- Abweichungen, Korrekturmaßnahmen sowie Prioritäten Wie sieht dein Alltag als Online- chen sollen und auch die Entschei-
führten und den geplanten Maßnahmen. bestimmt und in einen konkreten Maßnahmenplan Danny: Ich bin 2019 bei Althammer Marketing-Manager aus? der, die am Ende beschließen, mit
überführt. & Kill dazugestoßen. Der Marke- welchem Unternehmen sie zusam-
4. Definition des Geltungsbereichs ting-Bereich bekam durch die stetig Danny: Mein Alltag ist geprägt von menarbeiten wollen.
Mit diesen sechs Schritten ist der Anfang hin zur Umset- wachsende Unternehmensgröße strukturierten Abläufen und immer
Eine schlüssige Definition und Abgrenzung des Geltungs- zung des B3S gemacht. Daran anknüpfend folgen wei- immer mehr an Aufmerksamkeit. wiederkehrenden Aufgaben bis hin Im B2C-Bereich sind die drei oben
bereichs eines B3S Krankenhaus ist entscheidend für die tere Prozesse wie die Risikoanalyse, die Umsetzung der Da habe ich mich kurzerhand auf zu kurzfristigen Anpassungen oder genannten Personen nur eine einzel-
Umsetzung der Maßnahmen. Dabei müssen drei Bereiche Maßnahmen, die sehr wichtigen Awareness-Schulungen die ausgeschriebene Stelle bewor- kleineren Projekten, die den Alltag ne. Sie informiert sich und sucht das
betrachtet werden: für Mitarbeitende, die Aufrechterhaltung der kritischen ben und hier bin ich jetzt seit drei wieder spannender machen und Produkt oder wird darauf aufmerk-
Dienstleistungen und die Evaluierung der Effektivität Jahren tätig. Abwechslungen mit sich bringen. sam und entscheidet am Ende selbst,
✓⃝● Den räumlichen Geltungsbereich (Ort) des ISMS. Die Einführung eines ISMS nach B3S ist eine Kein Tag gleicht dem anderen, ob sie das Produkt kaufen möchte
✓⃝● Der sachliche Geltungsbereich Herausforderung – mit einem zielgerichteten Vorgehen Was sind Deine Aufgaben? auch wenn es einige tägliche oder oder nicht. Das macht es etwas einfa-
(Prozesse, Anwendungssysteme) erhöht es jedoch die Informationssicherheit in Kranken- wöchentliche Routineaufgaben gibt, cher, aber dennoch sind beide Berei-
✓⃝● Die verwendete technische Infrastruktur häusern signifikant und schützt somit das Leben von Danny: Bis vor wenigen Monaten so bleibt noch Platz für neue und che in Ihrem Umfeld recht komplex
(eingesetzte Technik) Patientinnen und Patienten. & gehörte zu meinen Aufgaben alles, spannende Projekte. und faszinierend zugleich. &
Seite 8 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 9
Datenschutz Datenschutz
der US-Geheim- und Nachrichtendienste auf personenbezo- Was wäre aber, wenn am Ende der Verhandlungen bzw. des
gene Daten von Europäerinnen und Europäer zuzugreifen. Übersetzungsprozesses ein Abkommen zustande kommt,
welches unmittelbar von Datenschützern sowie Non-Pro-
Grundsätzlich scheinen die USA zu Gesetzesänderungen fit-Organisationen wie NOYB und Co. ein drittes Mal vor
bereit zu sein. Ein neues Regelwerk und verbindliche Garan- den EuGH gezerrt wird, da es den europäischen Grund-
tien sollen den Zugriff auf Daten durch US-Geheim- bzw. rechten wieder einmal nicht standhält? Dann würde sich
Nachrichtendienste „zum Schutz der nationalen Sicherheit“ nichts ändern! Die seit Juli 2020 bewährten Übertragungs-
auf ein notwendiges und verhältnismäßiges Maß beschrän- mechanismen würden weiterhin gelten. Nur dürfte dieses
ken; die Nachrichtendienste sollen Verfahren einführen, Szenario in Zeiten der Digitalisierung von Organisationen
die eine wirksame Überwachung der (neuen) Datenschutz- und Abläufen niemanden glücklich machen.
und Grundrechte sicherstellen. Außerdem soll ein neues
zweistufiges „Rechtsbehelfssystem“ Auswirkungen der
zur Untersuchung und Beilegung TADPF-Ankündigung
von Beschwerden der Europäer Aktuell sind Datenüber-
entstehen – einschließlich eines mittlungen in die USA Die Auswirkungen der TADPF-
Datenschutzüberprüfungsgerichts. Ankündigung auf Organisationen
mit einem nicht zu unter- in der EU kann zum gegenwärtigen
schätzenden Aufwand
Privacy Shield 2.0 –
Doch wird dies am Ende reichen, um Zeitpunkt ziemlich genau beziffert
eine rechtssichere Basis für trans- werden: sie ist gleich null – zumin-
verbunden. Neben dem
Licht am Ende des Schrems II-Tunnels?
atlantische Datenübermittlungen zu dest bis wir mehr erfahren, z. B. in
etablieren? Wer definiert notwen- Abschluss von Verträgen Form von Rechtstexten. Organisa-
dige und verhältnismäßige Zugriffe zur Auftragsverarbeitung tionen, die ihre Datenübermittlung
von US-Geheim- und Nachrichten in die USA auf Basis von DPA, Stan-
(DPA) müssen Organi-
diensten? Exzessive Jubelstürme darddatenschutzklauseln, TIA und
Im März 2022 haben die Europäische Kommission und die USA eine seitens europäischer Datenschützer sationen (in der Regel) Co. stützen, sind gut beraten, dies
grundsätzliche Einigung über ein neues „Trans-Atlantic Data Privacy Framework“ konnten bislang nicht vernommen auch auf den Abschluss weiterhin so zu handhaben.
werden. Dies liegt wohl auch daran,
erzielt. Ein neues Abkommen wird es wohl dennoch nicht so schnell geben. von Standarddaten
dass juristische Texte bislang fehlen. Organisationen, die auf ein neues
Derweilen haben die Parteien ange- schutzklauseln hinwirken. und schnelles Abkommen gehofft
kündigt, die Verhandlungsergebnisse und dadurch bisher keine Maß-
A us Washington (USA) hörte man seit längerem, dass
an einem neuen Datenschutz-Abkommen zwischen
Europa und den USA gearbeitet wird. Die Zuversicht, eine
Motto „Alle guten Dinge sind drei!“ wagt man einen neuen
Anlauf. Organisationen und Datenschützer stellen sich
spätestens seit März die Frage: sind Datenübermittlungen
in rechtliche Dokumente zu überset-
zen – ohne dabei einen Stichtag zu nennen.
nahmen getroffen haben, sollten
spätestens jetzt reagieren. Denn niemand glaubt ernst-
haft daran, dass wir kurzfristig mit einem wasserdichten
schnelle und unkomplizierte Einigung zu finden, schien in die USA nun rechtlich sauber? Was wäre, wenn… Abkommen rechnen können. &
auf der anderen Seite des Atlantiks über eine lange Zeit
exklusiv zu existieren – in Europa war man diesbezüg- Eine Absichtserklärung – … am Ende des Verhandlungs- und Übersetzungsprozesses
lich etwas zurückhaltender. Daher war die Verwunderung nicht mehr, nicht weniger ein Abkommen zustande kommt, welches eine rechtssichere
auch recht groß, als bei einem Besuch des US-Präsidenten Datenübermittlung in die USA ermöglicht? Die Erleichte-
Biden bei Kommissionspräsidentin von der Leyen im März Den Worten von Frau von der Leyen und Herrn Biden rung bei Datenschützern und der Wirtschaft wäre wohl groß. Stichwort
dieses Jahres das „Trans-Atlantic Data Privacy Framework“ müssen nun Taten folgen, denn bisher handelt es sich beim Aktuell sind Datenübermittlungen in die USA mit einem Transatlantischer Datenverkehr
(TADPF) verkündet wurde. TADPF nur um eine grundsätzliche Einigung. Man nicht zu unterschätzenden Aufwand verbunden. Neben
möchte den transatlantischen Datenverkehr fördern dem Abschluss von Verträgen zur Auftragsverarbeitung
Trans-Atlantic Data Privacy Framework und man möchte einen geeigneten Datenschutzrahmen (DPA) müssen Organisationen (in der Regel) auch auf den Das TADPF soll den transatlantischen Datenverkehr
schaffen. Inwieweit die Parteien jedoch bereit sind sich auf- Abschluss von Standarddatenschutzklauseln hinwirken. fördern – selbstverständlich auf legaler und daten-
Das TADPF soll den transatlantischen Datenverkehr fördern einander zuzubewegen, bleibt derweilen offen. Der Erfolg Da die USA spätestens seit Juli 2020 als unsicheres Drittland schutzkonformer Basis. Freunde des Datenschutzes
– selbstverständlich auf legaler und datenschutzkonformer (oder Misserfolg) wird davon abhängen, ob und wieweit die angesehen werden, ist auch eine Transfer-Folgenabschätzung erinnern sich: genau diesen Versuch hat es bislang
Basis. Freunde des Datenschutzes erinnern sich: genau USA bereit sind ihre Gesetze zu ändern. (TIA) notwendig. Derzeit entsteht in Organisationen daher schon zwei Mal gegeben. Die Versuche nannten sich
diesen Versuch hat es bislang schon zwei Mal gegeben. Die viel Papier, um Daten über den Atlantik übermitteln zu dür- Safe Harbour Abkommen und EU-US Privacy Shield.
Versuche nannten sich Safe Harbour Abkommen und EU- Konkret geht es um die US-Überwachungsgesetze (FISA, fen. Sollte ein rechtssicheres Abkommen gelingen, würden Beide scheiterten krachend
US Privacy Shield. Beide scheiterten krachend. Getreu dem CLOUD Act, etc.) und die unverhältnismäßigen Befugnisse wohl viele der heutigen obligatorischen Pflichten wegfallen.
Seite 10 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 11
Cloud- & Cyber-Security Cloud- & Cyber-Security
möglich wäre. Angreifende kennen diese Vektoren und struktur mit der aktuellen Gesetzeslage konform möglich
zielen immer häufiger genau auf diese unbedachten Cloud- ist. Ebenso muss geprüft werden, welche und in welchem
Risikomanagement
migrationen ab. Umfang Daten in der Cloud verarbeitet werden können.
Dies kann dazu führen, dass einige Anwendungen nicht
in der Cloud
Neben Angreifenden besteht die Gefahr jedoch ebenfalls in der Cloud betrieben werden können oder eben entspre-
durch Drittländer, die nicht dasselbe Datenschutzniveau chende Sicherheitsmechanismen etabliert werden müssen,
wie die EU besitzen. Geheimdienste haben hier oft umfang- um einen reibungslosen Betrieb zu gewährleisten.
reiche Rechte, welche dazu führen, dass ein Speichern
personenbezogener Daten nur schwer datenschutzkonform Während die Migration in die Cloud schon sehr viele Res-
Viele Unternehmen beabsichtigen in möglich ist. Verschlüsselungen und die Anonymisierung sourcen beansprucht, kann ein Weggang aus der Cloud zu
„die Cloud“ zu ziehen oder nutzen bereits von Daten werden nur selten eingesetzt und die Effektivität weiteren Problemen führen, wenn dieser nicht von Anfang
einer Verschlüsselung ist nur so hoch wie die Sicherheit des an mitgedacht wird. Es ist somit wichtig genau zu prüfen,
Cloud-Funktionalitäten. Doch was verbirgt Schlüssels. inwieweit geschäftskritische Funktionalitäten auch außer-
sich überhaupt hinter diesem Begriff? halb der Cloud gehostet werden können. Ebenfalls muss
Eine weitere nicht zu unterschätzende Gefahr ist die bei einem Einstieg in die Cloud über Rollen und Rechte
Zukunftssicherheit. Der Einstieg in die Cloud gestaltet sich innerhalb des Unternehmens nachgedacht werden. Eine
häufig einfacher als der Ausstieg. Sind die Anwendungen granulare Verteilung der notwendigen Zugriffsrechte
auf einer bestimmten Plattform performant, müssen sie dies muss nicht nur bedacht, sondern auch gepflegt werden.
in anderen Cloud-Umgebungen nicht sein. Cloud-Dienst- Um eben diese Zugriffsrechte zu verteilen ist es wichtig,
C loud-Storage, Cloud-Ready, Privacy-Cloud, Personal-
Cloud, cloudbasierte Anwendungen – es scheint, als
wäre die Cloud überall und könnte alle Probleme lösen,
Festplatte oder einen Server anzuschaffen. Die Cloud stellte
hier also eine, von der ganzen Welt aus erreichbare, Alter-
native zu Speichermedien dar. Realisiert werden konnte dies
leister haben somit die Möglichkeit bei der Preisgestaltung
frei zu agieren, da der Wechsel eines Anbieters häufig teurer
ist, als die gestiegenen Lizenzgebühren zu zahlen.
die Rollen im Unternehmen zu kennen und zu definieren.
Fazit
mit welchen Unternehmen konfrontiert werden können. durch Dienstleister, welche Rechenzentren betreiben und
Die HR-Abteilung würde das Bewerbermanagement gerne entsprechende Container für Kunden zur Verfügung stellen. Ein geringes Risiko, das Sie dennoch berücksichtigen Ein Cloud-Einstieg muss wohl durchdacht sein. Risi-
effektiver gestalten? Kein Problem, hier gibt es eine Cloud- Der Vorteil für Unternehmen und Privatpersonen ist, dass sollten, ist der Datenverlust. Obwohl Cloud-Anbieter Sicher- ken dürfen nicht unterschätzt werden. Doch sind diese
Anwendung für. Wissensmanagement? Ab in die Cloud! sie günstiger Speicher erwerben konnten und dieser einfach heitsvorkehrungen getroffen haben, um Datenverluste zu Vorkehrungen getroffen, können Cloud-Lösungen
erweiterbar ist. verhindern, kann es dennoch dazu kommen. Ein promi- Unternehmen entlasten und Ihnen die Möglichkeit
Doch wie so häufig, werden die Vorteile stark beleuchtet, nentes Beispiel sind unter anderem zwei große deutsche geben, kostengünstig und flexibel zu agieren. Der
aber eventuelle Probleme im Dunkeln belassen. Ob es Mittlerweile gibt es für jede denkbare Anwendung eine Cloud-Anbieter, welche mit Problemen zu kämpfen haben. Gewinn an Sicherheit ist für die meisten Unternehmen
vorteilhaft ist, dass das neue HR-Programm auf Servern in Cloud-Lösung, ob es nun der einfache Speicher ist, Data- Bei einem dieser Anbieter sind massenhaft Backups, welche immens, wenn die Sicherheitsmechanismen sorgfältig
einem Land mit fragwürdigen geheimdienstlichen Befug- Lakes oder sogar Quanten-Computing. Die Cloud ist somit in der Cloud gespeichert waren, abhandengekommen. implementiert werden. Alles in allem lässt sich somit
nissen liegt und ob dies überhaupt legal umsetzbar ist, sind sehr flexibel und bietet Unternehmen jeglicher Art eine festhalten, dass es keine Angst vor der Cloud geben
Fragen, die allzu oft leider erst nach der Kaufentscheidung Plattform. Die Skalierbarkeit ist das Hauptargument für In Cloud-Umgebungen gibt es ebenfalls häufig eine Auf- sollte, eher einen Respekt, der dazu führt, die Prozesse
beleuchtet werden. die Migration in eine Cloud-Umgebung. Während früher gabenverschiebung. So werden Updates bei On-Premise sorgsam zu durchdenken. &
Speicher und andere Server gekauft und im eignen Rechen- Lösungen noch von Administratoren geprüft, bevor sie aus-
Cloud Computing hat die Art und Weise wie Unternehmen zentrum betrieben werden mussten, können heute auf Klick gerollt werden. In der Cloud geschieht dies meist erst nach
arbeiten revolutioniert und unser tägliches Leben erheblich neue Ressourcen dazugekauft oder abbestellt werden. Dies dem Rollout. Häufig sind Funktionen zwar standardmäßig
beeinflusst. Wie bei jeder neuen Technologie gibt es jedoch bietet Unternehmen die Möglichkeit schnell auf dem Markt erst einmal deaktiviert, ein Administrator muss jedoch Tipp vom Admin
auch bei der Nutzung der Cloud Risiken. Diese Risiken müs- zu reagieren und neue Produkte oder Funktionen zu testen, immer auf dem neusten Stand bleiben, um eventuell aktive Trotzdem Backups anlegen!
sen sorgfältig gemanagt werden, um negative Folgen für Ihr ohne hohe Investitionen tätigen zu müssen. Funktionen zu evaluieren.
Unternehmen zu vermeiden. Im Idealfall werden die Risiken
vor der Migration in die Cloud angegangen. Gefahren der Cloudmigration Risikomanagement Datenverlust bei Kunden von Clouddienstleistern
trifft diese meistens unvorbereitet, da Vertrauen in
Die Cloud als Allheilmittel? Die Nutzung der Cloud birgt einige Gefahren, wie z. B. ein Wie können also die angesprochenen Risiken behandelt die Ausfallsicherheit besteht. Deshalb ist es wichtig,
unausgereiftes Rollen- und Rechtekonzept. Ist die Zugriffs- werden? Backups vorzuhalten, welche auf Medien gespeichert
Die Cloud ist ein Begriff, welcher aus der modernen struktur nicht sinnvoll geregelt, kann es zu Problemen und werden, die außerhalb der Cloud liegen.
Geschäftswelt kaum wegzudenken ist. Anfangs wurden vor dem Abfluss von Daten kommen. Problematisch bei der Der Cloud-Einstieg muss sorgfältig geplant werden. Es
allem Cloud-Speicher angeboten, um Privatpersonen und Nutzung von Cloud-Diensten ist hier vor allem, dass häufig empfiehlt sich die Anbieter genau zu prüfen, um auf poten- Backups, die außerhalb von Netzwerken aufbewahrt
Unternehmen die Möglichkeit zu geben schnell und ein- weitere Sicherheitsmechanismen wie ein Geoblocking oder tielle Probleme frühzeitig reagieren zu können. Hier ist vor werden, sind die sicherste Lösung.
fach Datensätze zu speichern, ohne hierfür eine physische auch VPN’s nicht genutzt werden, obwohl dies eigentlich allem die Frage zu klären, ob das Nutzen der Cloud-Infra-
Seite 12 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 13
Compliance Compliance
Rechtstreue und Legalitätspflicht:
Der Compliance-Beauftragte
Für die Einhaltung gesetzlicher Regelungen und Vorgaben ist die
Organisationsleitung - im Rahmen der Legalitätspflicht - verpflichtet,
angemessene Präventionsstrukturen aufzubauen. Ganz allgemein kann
man dieses als Compliance-Management-System bezeichnen.
D ie Größe und der Umfang richten sich vor allem nach
der Größe, der Komplexität und dem Risiko der jewei-
ligen Organisation. Kurzum: Gesetzliche Pflichten müssen
Aufgabengebiet(e) des Compliance-Beauftragten
Zunächst muss festgehalten werden, dass „Compliance“
an geeignete Personen delegiert, entsprechende Verfah- eine Aufgabe der Organisationsleitung ist (und bleibt).
rensanweisungen wirksam in Kraft gesetzt und die Einhal- Sie kann die Umsetzung jedoch „wegdelegieren“ und
tung kontrolliert werden. Die Person, die ein Compliance- einen Compliance-Beauftragten mit dem Aufbau und der
Management-System auf Basis der Unterhaltung eines Compliance-
bereits vorhandenen Strukturen ver- Managementsystems beauftragen.
netzt, pflegt, kontrolliert und aktuali- Compliance-konforme Dafür benötigt die Rolle des Compli-
siert, bezeichnet man üblicherweise unternehmerische Hand- ance-Beauftragten Weisungsfreiheit
als Compliance-Beauftragten. und umfassende Befugnisse, um
lungen begründen sich bspw. Fehlverhalten und Verstöße zu
Anders, als im Datenschutzbereich aus vielen Gesetzen wie ermitteln und aufzudecken.
gibt es jedoch keine explizite gesetz-
z. B. aus dem Bürgerlichen
liche Pflicht, eine solche Position Der Compliance-Beauftragte ist
einzurichten. Trotzdem kommt Gesetzbuch (BGB), dabei jedoch weder „Spion in den
der Position eine immer wichtigere dem GmbH-Gesetz, eigenen Reihen“ noch „Handlan-
Bedeutung zu. ger der Organisationsleitung“. Er
dem Gesetz gegen Wett-
handelt im Interesse der gesamten
Compliance – Bedeutung bewerbsbeschränkungen Organisation und aller Stakeholder,
für Organisationen (GWB), dem Wertpapier- indem er Schaden von der Organi- Die Krux der Freiwilligkeit Gesetz gegen Wettbewerbsbeschränkungen (GWB), dem
sation bestmöglich abwendet. Dies Wertpapierhandelsgesetz (WpHG) und vielen mehr. Nicht-
handelsgesetz (WpHG)
Ein stichhaltiges Compliance- kann ihm nur gelingen, wenn er Anders als beispielsweise in der Datenschutz-Grundver- konformes Handeln kann Sanktionen nach sich ziehen
Management ist für Organisationen und vielen mehr. umfassende Fachkenntnisse in allen ordnung fordern keine europa- oder deutschlandweit - vom Ausschluss aus öffentlichen Vergabeverfahren bis
von herausragender Bedeutung. Compliance-relevanten Bereichen allgemeingültigen Gesetze oder Verordnungen die Stellung hin zur persönlichen Haftung der Organisationsleitung.
So sorgt eine gelebte Compliance- besitzt und auf die Entwicklung und eines Compliance-Beauftragten über alle Organisationen Daraus lässt sich schlussfolgern, dass eine Notwendigkeit
Kultur nicht nur für eine rechtskonforme und redliche Umsetzung eines effektiven Programms zur Einhaltung hinweg. Kann man aus diesem Umstand schlussfolgern, zur Benennung eines Compliance-Beauftragten besteht,
Führung der Organisation, sondern trägt auch dazu bei, gesetzlicher und selbst auferlegter Vorschriften hinwirken dass die Benennung eines Compliance-Beauftragten der alle notwendigen Fachkenntnisse besitzt, um Compli-
dass ein Compliance-konformes Mitarbeitendenverhalten kann. Der Compliance-Beauftragte prüft proaktiv vorhan- maximal auf Freiwilligkeit beruht? Weit gefehlt, denn auch ance-konformes Handeln aller Akteure der Organisation
etabliert wird. Außerdem trägt eine Kultur der Regel- und dene Prozesse und Praktiken in der gesamten Organisation wenn keine Pflicht zur Benennung einer ausgewählten sicherzustellen.
Rechtstreue dazu bei, Verstöße konsequent aufzudecken auf Konformität und schult die Mitarbeitenden entspre- Person besteht, sind Gesetze und Vorgaben von jeder Orga-
bzw. zu verhindern und straf- sowie zivilrechtliche Risiken chend den internen und externen (rechtlichen) Vorgaben. nisation einzuhalten. Für Compliance-Beauftragte wird es spannend
zu minimieren. Doch dazu müssen Spielregeln aufgestellt Umfassende IT-Kenntnisse gehören ebenso zum Reper-
werden – genau an dieser Stelle fungiert der Compliance- toire eines Compliance-Beauftragten wie ökonomischer Compliance-konforme unternehmerische Handlungen Compliance, bzw. das Bewusstsein darüber, hält immer
Beauftragte als Spielleiter. Sachverstand. begründen sich aus vielen Gesetzen wie z. B. aus dem mehr Einzug in deutsche und europäische Organisatio-
Bürgerlichen Gesetzbuch (BGB), dem GmbH-Gesetz, dem nen. Beste Beispiele hierfür sind die EU-Whistleblower-
Seite 14 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 15
Compliance Akademie
Veranstaltungen und Termine
Richtline sowie das Lieferkettensorgfaltspflichtenge- Fazit
setz. Erstere Richtlinie wurde bislang noch nicht in ein
nationales Gesetz überführt, obwohl dies bis Ende 2021 Organisationen sind gut beraten, die Funktion und Rolle
hätte geschehen müssen. Es ist davon auszugehen, dass eines Compliance-Beauftragten auszuarbeiten und zu eta- Mehr Informationen, weitere Termine und Anmeldemöglichkeiten für
der nationale Gesetzgeber dies bald nachholen wird, denn blieren. Fehlt innerhalb der Organisation die notwendige unsere Veranstaltungen finden Sie unter: althammer-kill.de/akademie
ein neuer Referentenentwurf wurde bereits Anfang April Fachkunde, können auf externe Compliance-Beauftragte
2022 veröffentlicht. Vermutlich wird dieser in den nächs- zurückgegriffen werden. Die EU-Whistleblower-Richtlinie
ten Monaten verabschiedet. Ab diesem Zeitpunkt besteht und das Lieferkettensorgfaltspflichtengesetz sind zwei
(nach derzeitiger Lage) die Pflicht zur Einrichtung eines aktuelle Beispiele dafür, dass professionelle Compliance 21.–22. Juni 2022 – Online-Seminar 09. Juni 22 – Webinar
internen Hinweisgebersystems ab einer Organisations- für Organisationen immer wichtiger wird. & ISO 27001 Foundation LearnBase – Einführungs-Webinar
größe von 50 Mitarbeitenden. Derzeit befinden wir uns Zertifikatskurs Mit LearnBase können Sie Ihre Kolleginnen und Kollegen
in Deutschland daher in einer (ungewollt) verlängerten online schulen, eigene Inhalte für Unterweisungen und
Vorbereitungsphase, die von den Organisationen genutzt Unser ISO 27001 Grundlagenseminar vermittelt Ihnen E-Learnings zur Verfügung stellen oder selbst Seminare
werden sollte. Sobald das nationale Gesetz erscheint, wird In eigener Sache das Basiswissen der international anerkannten Norm für oder Webinare organisieren. Wir stellen Ihnen die Lern-
es wohl keine Übergangszeit mehr geben (können). Informationssicherheit ISO 27001. plattform vor.
Das Lieferkettensorgfaltspflichtengesetz wiederum wurde Althammer & Kill unterstützt Organisationen In dem zweitägigen Kurs lernen Sie die Norm kennen und
im Sommer 2021 vom Deutschen Bundestag beschlos- bei der Erfüllung ihrer gesetzlichen können diese fortan in Ihrem Unternehmen adressieren.
sen und ist ab dem 1. Januar 2023 für Organisationen Verpflichtungen, indem der externe Compliance- Vorkenntnisse werden nicht benötigt, denn der Referent 15. Juni 2022 – Webinar
in Deutschland oder mit einer Zweigniederlassung in Beauftragte gestellt wird. Außerdem betreibt geht mit Ihnen gemeinsam die Mindesanforderungen der Umsetzung der EU-Whistleblower-Richtlinie:
Deutschland mit min. 3.000 Beschäftigten gültig. Ab dem Althammer & Kill ein selbst entwickeltes Norm sowie Maßnahmen zur Umsetzung durch. Das Hinweisgebersystem
1. Januar 2024 reduziert sich die Grenze der Beschäftigten Meldeportal, um die gesetzlichen Anforderungen Wir stellen Ihnen das Hinweisgebersystem von Altham-
auf 1.000. Das Gesetz soll der Verbesserung der interna- der EU-Whistleblower-Richtlinie (und rechtzeitig Sie haben nach Abschluss des Seminares die Möglichkeit, mer & Kill vor, das sich ganz einfach bei Ihnen einbinden
tionalen Menschenrechtslage dienen, indem es Anfor- auch des Lieferkettensorgfaltspflichtengesetzes) an einer Zertifikatsprüfung der international anerkann- lässt, alle Daten völlig anonym behandelt und die Anforde-
derungen an ein verantwortungsvolles Management für Organisationen pragmatisch und wirksam ten ICO-Cert teilzunehmen (zzgl. Prüfungsgebühr). Nach rungen an die neue Richtlinie optimal erfüllt.
von Lieferketten festlegt. Analog zur EU-Whistleblow- umsetzbar zu machen. – bestandener Prüfung sind Sie qualifiziert, um den Profes-
er-Richtlinie müssen Organisationen Kommunikations- Sprechen Sie uns einfach an! sional Kurs zum international anerkannten Information
kanäle zur Meldung von Verstößen etablieren. Für die Security Officer zu belegen.
Aufarbeitung der gemeldeten Vorfälle bedarf es innerhalb Ihr Vertriebsteam 29. Juni 2022 – Webinar
der Organisation fachkundiges Personal. Kurz gesagt: Es vetrieb@althammer-kill.de Microsoft 365, AWS & Co. – sicher in die Cloud
bedarf einen Ansprechpartner für Compliance - einen Tel. +49 511 330603-0 Microsoft 365, Amazon Web Services und ähnliche Anwen-
Compliance-Beauftragten. 26.–29. September 2022 – Online-Seminar dungen sind ein Problemfall für Datenschützer – denn es
ISO 27001 Professional – sind sogenannte „Cloud-Dienste“. Wir zeigen, worauf Ent-
Information Security Officer scheider im Rahmen ihrer IT-Strategie achten sollten und
welche rechtlichen Herausforderungen bei der Einführung
Impressum Unser ISO 27001 Professional-Seminar vermittelt Ihnen das gemeistert werden müssen.
weiterführende Fachwissen der international anerkannten
Norm für Informationssicherheit ISO 27001 und ergänzen-
Redaktion/V. i. S. d. P.: Gestaltung: der Normen.
Danny Sellmann, Designbüro Winternheimer, winternheimer.net
Thomas Althammer In dem viertägigen Kurs vermitteln wir Ihnen auf Basis Haben Sie Fragen?
Fotos Mini-Figuren: des erfolgreichen Foundation Zertifikates tiefgreifendes
Haftung und Nachdruck: Katja Borchhardt, miniansichten.de Wissen und bereiten Sie so auf das erfolgreiche Bestehen
Die inhaltliche Richtigkeit und Fehlerfreiheit wird aus- der Zertifikatsprüfung vor. Ihr Ansprechpartnerin für alle Themen
drücklich nicht zugesichert. Jeglicher Nachdruck, auch Anschrift: rund um die Althammer & Kill-Akademie:
auszugsweise, ist nur mit vorheriger Genehmigung der Althammer & Kill GmbH & Co. KG Nach Abschluss des Seminares haben Sie die Möglichkeit,
Althammer & Kill GmbH & Co. KG gestattet. Roscherstraße 7 · 30161 Hannover an einer Zertifikatsprüfung der international anerkannten Nina Hoffmann
Tel. +49 511 330603-0 ICO-Cert teilzunehmen (zzgl. Prüfungsgebühr). Bei bestan- veranstaltung@althammer-kill.de
Schutzgebühr Print-Ausgabe: 5,– € althammer-kill.de dener Prüfung besitzen Sie den zertifizierten Nachweis der Tel. +49 511 330603-0
fachlichen Kenntnisse zur Normenreihe ISO27X.
Seite 16 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 17
Über die Schulter geschaut Über die Schulter geschaut
Tätigkeitsfelder. Das Ziel jedes sich aufeinander „einzugrooven“ Welche Themen werden dei-
Management-Systems sollte es m. E. und die gegenseitigen Erwartungs- ner Meinung nach im Jahr
sein, standardisierte Vorgehenswei- haltungen zu klären. 2022 noch relevanter?
sen zu entwickeln und einzuführen.
Als besonders herausfordernd Julian: Ich denke, dass einige
Die Praxis bei solchen Komplex- habe ich es empfunden, wenn eine Unternehmen noch Nachholbedarf
trägern zeigt jedoch auch, dass Schlüssel-Ansprechpartnerin oder bei ihrer Informationssicherheit
nicht alles zu vereinheitlichen ist Ansprechpartner beim Kunden haben. Die letzten Jahre haben
und jeder Bereich auch individu- wechselt. Wenn die vorherige gezeigt, dass immense Schäden
ell betrachten werden muss. Das Ansprechpartnerin oder Ansprech- aufgrund von Hackerangriffen
macht es aber auch spannend! partner für einen nicht mehr ver- oder technischen oder mensch-
fügbar ist, weil diese oder dieser das lichen Fehlern entstehen können.
Was gefällt dir besonders an der Unternehmen verlassen hat, ist eine Zusätzlich gibt es immer strengere
Tätigkeit als Berater für Daten- strukturierte Datenschutzorganisa- Regularien, die von Unternehmen
schutz und Informationssicherheit? tion und eine vorherige Übergabe berücksichtigt werden müssen.
umso wichtiger.
Julian: Die Vielseitigkeit. Man hat Wie eng arbeitest du mit den
jeden Tag mit super interessanten Welche Themen beschäftigen unsere anderen Beratern zusammen?
und sehr unterschiedlichen Men- Kundinnen und Kunden am meisten?
schen zu tun und lernt jeden Tag Julian: Vor Corona sehr eng. Durch
dazu. Zusätzlich entwickeln sich die Julian: Im Datenschutz definitiv das Corona war es uns lange Zeit nicht
Themen Datenschutz und Informa- Schrems II Urteil und die Zulässig- mehr möglich vor Ort zusammen
tionssicherheit stetig weiter und keit der Beauftragung von US-ame- zu arbeiten, weshalb dieses „Team-
man muss ständig am Ball bleiben. rikanischen Unternehmen und gefühl“ ein wenig auf der Strecke
Natürlich ist der Job auch manch- deren Dienste. geblieben ist. Ich bin aber guter Din-
Der Berater-Alltag
mal stressig, aber für mich käme ge, dass wir dieses Gefühl zukünftig
aktuell kein anderer Job in Frage. Welches Thema liegt dir am besten/ wieder bekommen werden.
bei Althammer & Kill
wozu berätst du am liebsten?
Welche war die größte Heraus- Wie läuft eine Beratung
forderung, die dir je bei der Arbeit Julian: Ich mag am liebsten sehr klassischerweise ab?
mit einem Kunden begegnet ist? spezifische Projekte, wie z. B. die
Begleitung bei der Durchführung Julian: In der Regel fängt man
Julian Lang ist bereits seit über vier Jahren als Berater für Datenschutz Julian: Die Zusammenarbeit mit einer Datenschutz-Folgenabschät- mit einer Bestandsaufnahme an
und Informationssicherheit bei Althammer & Kill tätig. jedem neuen Kunden stellt zunächst zung. Hier vereinigen sich Daten- und ermittelt den Ist-Stand des
eine Herausforderung dar. Es gilt schutz und Informationssicherheit. Unternehmens und definiert
Maßnahmen. Diese Maßnahmen
arbeitet man sukzessive mit seinem
W as die Arbeit des Beraters
ausmacht, was er daran
schätzt und welche Themen seiner
immer noch als Datenschutzbe-
auftragter begleite, ist die Frage
nicht so einfach zu beantworten.
effizientesten zusammenarbeiten
können. Stichwort
Datenschutz-Folgenabschätzung
Ansprechpartner ab, bis man ein
etabliertes und funktionsfähiges
Datenschutz-Management- und/
Meinung nach in Zukunft noch Eines der größeren Projekte war Der für uns richtige Weg war die oder Informationssicherheits-
relevanter werden, erzählt Julian in die Einführung eines Datenschutz- Benennung von Datenschutzkoor- Management-System aufgebaut
unserem Format „Über die Schulter Management-Systems (DSMS) bei dinatorinnen und -koordinatoren je Die DSFA ist eine Risikoanalyse, wie man sie auch aus anderen Bereichen hat. Danach gilt es die Manage-
geschaut“. einem großen diakonischen Träger Organisationseinheit mit regelmä- des täglichen (Wirtschafts-)Lebens kennt. Ermittelt werden Schadens- mentsysteme aktuell zu halten und
mit über 2.000 Mitarbeitenden ßigen Treffen. Nicht selten haben potenziale und Eintrittswahrscheinlichkeiten von Ereignissen, wie z. B. auf Neuerungen wie z. B. Gesetzes-
Was ist bisher dein größtes und um die 20 Organisationsein- soziale Träger viele Tätigkeitsfelder Hacking, Datenverlust durch Brand usw. änderungen zu reagieren. Um die
Projekt gewesen? heiten. Die Diversität der Tätig- wie z. B. ambulante und stationäre Aktualität und Weiterentwick-
keitsfelder hat die Organisation der Pflegedienste, diverse soziale Bera- Die daraus resultierenden potenziellen Folgen werden bewertet und auf lung der Managementsysteme zu
Julian: Da ich mehrere größere Zusammenarbeit erschwert und wir tungsangebote, Kindertageseinrich- Basis dessen entschieden, ob eine Datenverarbeitung stattfinden darf. erreichen, führt man regelmäßige
Projekte begleitet habe und einige mussten ausprobieren, wie wir am tungen, Kliniken und viele weitere Audits durch. &
Seite 18 Compliance konkret 2/2022 Compliance konkret 2/2022 Seite 19Digitalisierung
sicher gestalten
Althammer & Kill bietet pragmatische Lösungskonzepte
für Datenschutz und Digitalisierung. Wir beraten bundesweit im Umfeld
Datenschutz, Informationssicherheit, Cloud- und Cybersecurity und Compliance.
Unsere rund 45 Mitarbeitende an den Standorten Hannover, Düsseldorf und Mannheim
sind als externe Datenschutzbeauftragte, Informationssicherheits- und IT-Experten
für mehr als 500 Kunden unterschiedlichster Branchen tätig.
Althammer & Kill GmbH & Co. KG
Roscherstraße 7 · 30161 Hannover · Tel. +49 511 330603-0 Qualitätsmanagement nach Plan
Mörsenbroicher Weg 200 · 40470 Düsseldorf · Tel. +49 211 936748-0 mit der ISO 9001:2015.
Kaiserring 10–16 · 68161 Mannheim · Tel. +49 621 121847-0
vertrieb@althammer-kill.de
althammer-kill.de MitgliedschaftenSie können auch lesen
