Aus meiner Erfahrung heraus würde ich sagen, es gibt, was den Umgang mit diesen vertraglichen und gesetzlichen Anforderungen angeht, drei Typen von Unternehmern und Unternehmen: Typ 1: Die »Kesselflicker«, Typ 2: Die »Pflichtbewussten« und Typ 3: Die »Kreativunternehmer«.
Regelmäßig schlägt mir die Frustration von Firmenchefs am Telefon entgegen, ich kann die »Bad Vibes« schier durchs Telefon spüren. »Ich weiß gar nicht mehr, wo ich zuerst hinschauen soll«, erzählt mir gestern jemand, »wir machen derzeit drei verschiedene Zertifizierungen gleichzeitig, ISO 27001, ISO 9001 und ISO 14001!«. Ein anderer berichtet, jede Fachabteilung kommt mit anderen Bestimmungen daher, und jedes Mal sei es eine Insellösung: »HR teilt mit, ab 1. Oktober einen neuen Personalfragebogen einzuführen, aus irgendwelchen neuen vertraglichen oder gesetzlichen Bestimmungen heraus; Facility Management bildet auf einmal Brandschutzhelfer aus – ich blick bald nicht mehr durch«. Und eine Dritte vertraut...
Zentraler Baustein des ISMS sind Informationssicherheitsbeauftragte. Sie sind zuständig für die Steuerung des ISMS. Diese Anforderung ist im VDA ISA Katalog im Control 1.2.2 zu finden. Informationssicherheitsbeauftragte müssen neben fachlichem Know-how insbesondere Soft Skills vorweisen können.
Mit der Datenschutz-Grundverordnung (DSGVO) kann für Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen. Unternehmen stehen zwei Möglichkeiten offen ihrer Bestellpflicht nachzukommen: Entweder sie ernennen einen Mitarbeiter zum internen Datenschutzbeauftragten oder es wird eine externe Datenschutzbeauftragte bestellt. Bei der Wahl des internen Datenschutzbeauftragten ist darauf zu achten, dass dieser keinem Interessenskonflikt unterliegt; etwa weil er als Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung sich...
Ja, es gibt Gründe, warum TISAX für viele besser ist als ISO 27001. Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Deutsche Bank, Siemens, Lufthansa oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden. Denn auch deren Einkauf überprüft beim Screening, welche Zertifizierungen mit Blick auf die Informationssicherheit bei potenziellen Partnern vorhanden sind.
Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Informationssicherheit angeht, nichts im Wege steht...
Letzte Woche habe ich die neue Netflix-Doku »The Social Dilemma« geschaut.
Ich würde nicht sagen, dass sie mich wachgerüttelt hat – ich war schon vorher wach. Immerhin bin ich nicht nur beruflich, sondern auch im privaten Umfeld Ansprechpartner für alle Fragen rund um Informationstechnologie, Informationssicherheit und Datenschutz.
Aber »The Social Dilemma« hat mir gezeigt, dass ich mich, meine Familie und mein Umfeld immer und immer wieder aufs Neue disziplinieren muss. Das ist wie mit Ernährung und Sport und all den anderen, unbequemen Wahrheiten des Digitalzeitalters: man hat sie nicht einmal angepackt und für immer im Griff. Man muss sich kontinuierlich...
Wir bekommen immer mehr Anfragen von Mitarbeitern in Unternehmen, die wissen wollen, was die neuen Tools eigentlich alles für Auswertungs-Möglichkeiten haben. Und spätestens seit die Arbeit im Homeoffice zur täglichen Routine geworden ist und der Chef einem nicht mehr auf die Finger schaut, stellen sich viele die Frage: “Kann man Leute über Softwaretools im Homeoffice ausspionieren?„
Die Antwort lautet: Ja. Man kann. Und wie.
Wer generell ein komisches Gefühl hat, wie das eigene Unternehmen diese Themen handhabt, sollte ebenfalls beim DSB nachfragen und sich bestätigen lassen, dass keine Überwachung stattfindet. Der DSB ist verpflichtet, Auskunft zu erteilen. Wenn er das...
Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.
Wer hat Angst vorm Auditor? Niemand! Zumindest wenn du dich gut vorbereitet hast. Was sind die Dos and Don'ts beim Audit?
Boom! Nun ist es offiziell: Die Version 5.0 des VDA Information Security Assessment (ISA) Katalogs wurde veröffentlicht.
Wir bei Nextwork haben uns in den letzten Monaten intensiv mit der Version 5.0 beschäftigt und dürfen nun endlich über die Neuerungen berichten.
***
Wenn du also eine Frage zu diesen Themen hast, die wir hier unbedingt besprechen sollten, dann schreibe eine E-Mail an "podcast@marcopeters.de".
https://www.marcopeters.de
#OwnYourCompliance (TISAX® ist eine eingetragene Marke der ENX Association)
Gestern hat das EuGH das oft kritisierte EU/US-Privacy Shield Abkommen als unwirksam erklärt. Nach heutigem Stand (17.07.2020) behalten die bereits abgeschlossenen Standardvertragsklauseln ihre Gültigkeit bei, bis ein Gericht es anderes entscheidet. Aus der aktuellen Sicht, empfehlen wir folgende Schritte vorzunehmen:
1. Informationspflichten erfüllen: Datenschutzhinweise müssen angepasst werden und Hinweise auf das Privacy-Shield müssen entfernt werden.
2. Evaluierung:
Welche Dienste werden genutzt, bei denen ein Datentransfer personenbezogener Daten in die USA stattfindet. Hier ist oft das Verarbeitungsverzeichnis eine gute Hilfe.
3. Vertragsgrundlage prüfen:
Findet der Transfer basierend auf dem EU/US-Privacy Shield statt, oder wurden Standardvertragsklauseln geschlossen?
4. Verträge anpassen:
Viele Anbieter...