Unterstützung
- Sie suchen Unterstützung bei der Gestaltung und Optimierung Ihrer IT- und Geschäftsprozesse ?
- Sie stehen vor der Herausforderung, die neue EU-Datenschutzgrundverordnung (EU-DSGVO bzw. GDPR) umzusetzen ?
- Sie möchten wissen, wie es um die IT-Sicherheit in Ihrem Unternehmen steht ?
- Sie brauchen Unterstützung bei der Einführung eines Informationssicherheits-Management-Systems (ISMS) ?
- Was ist bei digitaler Archivierung zu beachten ?
- Welcher Handlungsbedarf ergibt sich durch GoBD, GDPdU, GoBS und das neue IT-Sicherheitsgesetz ?
Fragen Sie uns. Mit langjähriger Erfahrung und dem Know-how einer internationalen Prüfungs- und Beratungsgesellschaft unterstützen wir Sie bei diesen und vielen anderen Fragestellungen rund um IT- und Geschäftsprozesse, IT-Compliance und Informationssicherheit.
Darüber hinaus finden Sie hier demnächst nach und nach weitere aktuelle Informationen rund um IT-Sicherheit, Datenschutz, Datenanalysen und ähnliche Themen. Stay tuned … ! 🙂
Datenschutz
Zum 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO bzw. GDPR) in Kraft. Das Bundesdatenschutzgesetz wurde parallel angepasst, gleichzeitig wird die e-Privacy-Verordnung in Kraft treten. Nicht nur die Bußgelder sind mit bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes deutlich höher als bisher, auch die Rechte Betroffener haben es in sich.
Betroffene haben zukünftig gesteigerte Auskunftsrechte über die von ihnen gespeicherten personenbezogenen Daten, daneben besteht das Recht auf Datenportabilität, also das Recht, diese Daten in einem elektronisch lesbaren Format zu erhalten. Verarbeitungssperren bei fehlender Einwilligung sowie Löschpflichten nach Ablauf von Aufbewahrungspflichten stellen für viele Unternehmen derzeit ebenso eine technische Hürde dar, weil die IT-Systeme an diese Anforderungen anzupassen sind. Prozesse und Systeme müssen zudem die Anforderungen „Privacy by Design“ und „Privacy by Default“ erfüllen, was in der Regel in einem deutlichen Anpassungs- und auch Dokumentationsbedarf resultiert.
Darüber hinaus gibt es weitere Anforderungen, etwa die Einführung von Kontrollprozessen im Bereich Datenschutz oder die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, die Durchführung von Datenschutzfolgenabschätzungen sowie im Bereich Dienstleistersteuerung (Auftragsverarbeitung, Stichwort technische und organisatorische Maßnahmen – TOM).
Es bietet sich an, diese Anforderungen in einem Datenschutzmanagementsystem (DSMS) zu strukturieren, damit die Fülle von Einzelaspekten effizient zu managen ist und eine Verzahnung mit weiteren Prozessen oder auch Management-Systemen z.B. in den Bereichen Informationssicherheit oder Compliance einfach und konfliktfrei gelingt. So ist auch die Erstellung der Nachweisdokumentation gut in die Prozesse zu integrieren, was einen wesentlicher Baustein auf dem Weg zur Enthaftung für die Geschäftsführung darstellt.
Nach der Umsetzung der wichtigsten Maßnahmen zur Vermeidung von Bußgeldern (und Reputationsschäden) bietet es sich daher an, diese Maßnahmen in ein Managementssystem zu überführen, welches dann Schritt für Schritt um weitere Bereiche ergänzt werden kann, um bspw. die Datenschutzorganisation zukunftssicher aufzustellen. Schließlich sind entsprechende Kontrollprozesse zu implementieren und Audit-Konzepte – intern sowie in Bezug auf Dienstleister – einzurichten.
Informationssicherheit
Ob Sie vom IT-Sicherheitsgesetz oder dem Energiewirtschaftsgesetz betroffen und zur Implementiertung eines Informationssicherheits-Management-Systems (ISMS) verpflichtet sind, oder ob Sie die Assets in Ihrem Unternehmen aus eigenem Antrieb schützen wollen: die Vorsorge durch geeignete technische und organisatorische Schutzmaßnahmen sowie die Einrichtung eines ISMS sind sinnvoll, um einen angemessenen Schutz Ihrer Daten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu erzielen und bei Bedarf auch nachweisen zu können.
Informationssicherheit ist eine Managementaufgabe. Zwar hat heute kaum ein Thema im Unternehmen keinen Bezug zur Informationstechnologie, auf der anderen Seite aber geht Informationssicherheit auch deutlich über IT-Themen hinaus und erstreckt sich über verschiedene Compliance-Anforderungen in zahlreiche Fachbereiche. Das Management der Informationssicherheit sollte in einem Unternehmen in direkter Nähe zu Vorstand bzw. Geschäftsführung angesiedelt sein, denn nur so lassen sich die Risiken in Bezug Informationen, IT-Systeme und Prozesse vollständig betrachten und entsprechende technische und organisatorische Maßnahmen einrichten und eine entsprechende IT-Compliance erzielen.
Da die Geschäftsprozesse regelmäßig in IT-Systemen abgebildet sind, erfordert Informationssicherheits-Management zusätzlich intensive Kenntnisse im IT-Bereich, z.B. bei der Gestaltung von IT-Prozessen, der Konfiguration von Verschlüsselungstools oder auch der Steuerung von Dienstleistern und der Einrichtung von Eskalationsprozessen.
Compliance
Konformität mit rechtlichen/regulatorischen Anforderungen einzuhalten ist heutzutage keine triviale Aufgabe. Geschäftsprozesse und die zugrunde liegenden IT-Systeme wollen konform zu handels- und steuerrechtlichen Vorgaben eingerichtet sein, zudem gibt es branchenspezifische Anforderungen wie KWG oder MaRisk und nicht zuletzt das Bundesdatenschutzgesetz und entsprechende EU-Richtlinien.
In diesem Umfeld ist es hilfreich, einen Berater zur Seite zu haben, der die Anforderungen kennt und nach einer Bestandsaufnahme in einer Gap-Analyse die Konformität und eventuelle Abweichungen oder Regelungslücken identifiziert, um diese gezielt beheben zu können.
Interne Kontrollsysteme (IKS)
Geschäftsprozesse sind ebenso wie IT-Prozesse der elementare Bestandteil im Tagesgeschäft des Unternehmens. Um mit angemessener Sicherheit den Risiken in Bezug auf Funktionsfähigkeit, Fraud, Gesetzesverstöße etc. begegnen, hat die Geschäftsleitung ein internes Kontrollsystem einzurichten. Um die Effizienz der Prozesse sicherzustellen, sollten Kontrollen (wie z.B. Freigabegrenzen, Freigabeworkflows, Vier-Augen-Prinzip etc.) möglichst softwareseitig in den Anwendungen verankert sein – dies erspart manuellen Aufwand, senkt die Fehlerrate und sorgt so für Effizienz und gleichzeitig einen hohen Reifegrad.
Sowohl Geschäfts- als auch IT-Prozesse sollten regelmäßig auf den Prüfstand gestellt werden – in der Regel gibt es Optimierungspotenzial.