Wir machen IT sicher
Cyber Curriculum® begleitet Sie bei der Absicherung Ihres Unternehmens, um den gegenwärtigen Bedrohungen im digitalen Zeitalter immer einen Schritt voraus zu sein.
Maßgeschneidert auf Ihre Bedürfnisse!
KMU und Großkonzerne
Unsere Referenzen erstrecken sich von nationalen kleinen und mittelständischen Unternehmen (KMU) bis hin zu internationalen Großkonzernen.
Zertifizierte Experten
Unser Team setzt sich aus hochgradig qualifizierten und zertifizierten IT-Sicherheitsexperten sowie Unternehmensberatern und Juristen zusammen.
Step 4
Maßgeschneiderte Lösungen
Wir begleiten Sie bei individuell ausgewählten Themen bis hin zur Umsetzung einer holistischen IT-Sicherheitskonzeption nach nationalen und internationalen Standards.
Was Cyber Curriculum®
für Sie tun kann

Cyber Curriculum® unterstützt Sie bei der organisatorischen sowie technischen Absicherung Ihres Unternehmens.

Unser Leistungsspektrum im Bereich Cyber Security umfasst die Themenfelder Informationssicherheit / IT-Sicherheit, Cloud Security, Notfallmanagement sowie Datenschutz:

Vorbereitung zur Zertifizierung (z.B. ISO27001, BSI IT-Grundschutz)
Optimierung IT-gestützter Geschäftsprozesse
Begleitung bei datenschutzrechtlichen Anforderungen
Beratung bei der Umsetzung von (Sicherheits-) Maßnahmen
Entwicklung von Kontinuitätsstrategien und Behandlungsplänen (BCMS)
Definition einer sicheren Cloud-Strategie
Kontakt aufnehmen
IT-Security
IT-Security
Mehr erfahren
Datenschutz
Datenschutz
Mehr erfahren
Cloud-Security
Cloud-Security
Mehr erfahren
Notfallmanagement
Notfallmanagement
Mehr erfahren
IT-Security Consulting.
Zu Ende gedacht.
Erfahren Sie mehr über uns und unsere Expertise im Rahmen eines Beratungsgesprächs.
Play Video

Bei Klick wird dieses Video von den YouTube-Servern geladen. Für Details siehe Datenschutzerklärung.

Vorteile im Überblick
Bauen Sie Ihre IT Governance, Risk and Compliance eigenständig auf,
unabhängig von externen Dienstleistern.
Reputation & Vertrauen
Reputation & Vertrauen
Stärkung von Vertrauensbeziehungen gegenüber Stakeholdern und weiteren Adressaten
Sicherheit
Sicherheit
Die Compliance-Struktur, regelt den Geschäftsbetrieb und stärkt den Informationsverbund
Know-how
Know-how
Sie erhalten durch die Pakete fachlichen Input, den Sie für Ihren Betrieb benötigen und erhöhen Ihre Unabhängigkeiten gegenüber Dritten
Wettbewerbsfähigkeit
Wettbewerbsfähigkeit
Zertifizierungen sind Maßstab für Qualität und Vertrauenswürdigkeit einer Organisation auf dem globalen Markt.
Kosteneinsparung
Kosteneinsparung
Sie erhalten die notwendigen Bestandteile Ihrer IT-Compliance ohne unbedingte Einbindung Externer. Darüber hinaus steigt die Zeiteffizienz.
Ressourcenschonung
Ressourcenschonung
Sie benötigen nicht zwingend Experten für Datenschutz, IT-Sicherheit oder Betriebskontinuität für die Entwicklung einer IT-Compliance Struktur.
Unser Portfolio und Service
Wir entwickeln mit Ihnen Integrierte Managementsysteme zu nachfolgenden Themenfeldern:
Datenschutz
Informationssicherheit
Business Continuity Management
Zielgruppe
Organisationen die personenbezogene Daten erheben, speichern und verarbeiten
Relevanz
Datenschutz-Grundverordnung (DS-GVO)
Bundes­datenschutzgesetz (BDSG)
Vorteil
Vorbeugung vor Sanktionen, Wettbewerbsfähigkeit
Zielgruppe
KMUs, IT-Betriebe, Betreiber kritischer Infrastrukturen, OEM, öffentlicher Sektor
Relevanz
ISO/IEC 2700x Zertifizierung
BSI IT-Grundschutz
Vorteil
Risikoorientierte Steuerung von
IT-Prozessen, Reputation
Zielgruppe
KMUs, IT-Betriebe, Betreiber kritischer Infrastrukturen, OEM, öffentlicher Sektor
Relevanz
SO/IEC 22301 Zertifizierung
BSI Standard 200-4
Vorteil
Absicherung zeitkritischer Prozesse und abhängiger Komponenten
Zu den Produkten
Step 1
Schritt 1
Strategiegespräch
Unser Expertenteam identifiziert in einem initialen Strategiegespräch Ihre individuellen Anforderungen und beantwortet erste Fragen.
Step 2
Schritt 2
Konzeptionierung und Kick-Off
Aus den gewonnenen Erkenntnissen konzeptioniert Cyber Curriculum® auf Grundlage Ihrer Bedürfnisse einen maßgeschneiderten Lösungsvorschlag für Ihr Unternehmen.
Step 3
Schritt 3
Umsetzung und Implementierung
Nach Abnahme der Strategie Ihres Projektvorhabens erarbeiten unsere Experten die effektiven und kosteneffizenten Lösungen für Ihre individuelle Herausforderung und begleiten Sie, auf Wunsch, bei der Umsetzung. Dabei arbeiten wir in einem integrierten Ansatz und nutzen Synergieeffekte aus angrenzenden Themenfeldern.
Step 4
Schritt 4
Ergebnispräsentation und Empfehlungen
Abschließend stellt das Expertenteam die Ergebnisse und entsprechende Handlungsempfehlungen vor. Um die Wirksamkeit der Maßnahmen zu erhöhen, empfehlen wir nach einer erfolgreichen Integration auch regelmäßige Audits zur kontinuierlichen Verbesserung.
Starke Partner und Netzwerke
„Wir sind Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands e. V. sowie im Bundesverband IT-Mittelstand e. V. (BITMi). Als Partner der Allianz für Cyber-Sicherheit (ACS) engagieren wir uns mit unserer Expertise.
Mit unserer Beteiligung streben wir die Erhöhung der Cyber-Sicherheit am Wirtschaftsstandort Deutschland an.“
BvD e.V. Mitglied - LogoAllianz für Cyber-Sicherheit LogoBundesverband IT-Mittelstand e.V. - Logo
Förderung und Finanzierung
Ist die Absicherung Ihrer Organisation förderfähig?
Unter bestimmten Voraussetzungen ist es möglich, dass Ihnen eine teilweise oder vollständige Förderung für die Absicherung Ihrer Organisation zusteht. Sprechen Sie uns an, wir beraten Sie und unterstützen Sie bei der Förderung!
Erfolgsfaktoren für Ihre
IT-Compliance
für die Implementierung der IT-Compliance in Ihren Geschäftsbetrieb
Icon
Implementierung in den Geschäftsbetrieb
Icon
Kontinuierliche Verbesserung (KVP)
Icon
Commitment des Managements
Icon
Akzeptanz & Awareness
Icon
Meldestellen, Rollen- und Verantwortlichkeiten
Icon
Einbezug aller Stakeholder
Testimonials
Nehmen Sie uns nicht nur beim Wort. Sehen Sie, was unsere Kunden sagen.
Haben wir Ihr Interesse geweckt?
Sind Sie bereit,
Ihre Organisation abzusichern?
Benötigen Sie ein unverbindliches Angebot oder weitere Informationen? Dann schreiben Sie uns!
Kontakt aufnehmen

Cyber Security | IT-Consulting | IT-Sicherheit | Beratung

Cyber Curriculum® - Cyber Security, IT-Consulting (Beratung) & IT-Sicherheit

BSI IT-Grundschutz

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehen „IT-Grundschutz“ zielt im Kern auf eine Absicherung der in einem Unternehmen zum Einsatz kommenden Informationstechnologie ab. Abhängig von den zugrunde liegenden Gefährdungen und Schäden, die im Rahmen einer Verletzung der Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) der in der IT verarbeiteten Informationen entstehen können, werden Schutzniveaus definiert und darauf aufbauend technische und organisatorische Sicherheitsmaßnahmen umgesetzt, um das entsprechende Schutzniveau ausreichend zu gewährleisten.

Zielgruppe des BSI IT-Grundschutzes können unabhängig von Branche bspw. Behörden, Unternehmen als Finanzdienstleister sein. Durch eine entsprechende Zertifizierung nach ISO/IEC 27001 auf Basis von IT-Grundschutz kann ein Unternehmen die ordnungsgemäße Ausgestaltung eines Informationssicherheitsmanagementsystems (ISMS) nachweisen.

Insgesamt umfasst die Vorgehensweise des BSI IT-Grundschutz vier Standards:

  • Angaben zum Aufbau eines ISMS (200-1)
  • Vorgehensweise nach IT-Grundschutz (200-2)
  • Erstellung von Risikoanalysen für hohen und sehr hohen Schutzbedarf (200-3)
  • Anforderungen eines ordnungsgemäßen Notfallmanagements (BCM) (Standard 100-4) [Siehe Reiter „Notfallmanagement“]

Der IT-Grundschutz-Katalog kann als eine Sammlung von Dokumenten (Modulen, Gefährdungen, Sicherheitsmaßnahmen) verstanden werden, die einem Unternehmen die schrittweise Implementierung und Aufrechterhaltung eines ordnungsgemäßen ISMS erleichtern.

Insgesamt sind nachfolgende Schritte in der Durchführung des BSI IT-Grundschutzes enthalten:

  • Definition des Informationsverbundes: Erfassung der Gesamtheit aller infrastrukturellen, technischen, organisatorischen und personellen Komponenten im für den IT-Grundschutz betrachteten Bereich eines Unternehmens.
  • Strukturanalyse: Aufnahme aller Elemente bzw. Unternehmenswerte im Informationsverbund und Darstellung der zugehörigen Abhängigkeiten. Unter den Unternehmenswerten können bspw. Prozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen, Netzwerke und Räume verstanden werden.
  • Schutzbedarfsfeststellung: Feststellung des für die Unternehmenswerte anwendbaren Schutzniveaus auf Basis der Ermittlung der maximal möglichen Schäden im Zuge der Verletzung der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen.
  • Modellierung der Bausteine: Systematische Abbildung der Unternehmenswerte des Informationsverbundes über vordefinierte Bausteine des BSI IT-Grundschutzes, die mit Hinblick auf den festgestellten Schutzbedarfe (Mindest-) Anforderungen zur Erfüllung des angestrebten Sicherheitsniveaus enthalten.
  • IT-Grundschutz-Checks: Abgleich der geforderten (Sicherheits-)Maßnahmen mit dem aktuellen Umsetzungsstand des Unternehmens, wodurch eine Aussage über die noch fehlenden Maßnahmen und Sicherheitslücken getroffen werden kann.
  • Risikoanalyse: Einschätzung der Eintrittswahrscheinlichkeit und des Auswirkungsgrades für Risiken, die im Kontext von hoch schutzbedürftigen Unternehmenswerten entstehen, für die kein passender Baustein des BSI IT-Grundschutzes vorhanden war oder deren Einsatzfeld von dem des zugehörigen Bausteines abweicht.
  • Konsolidierung der (Sicherheits-)Maßnahmen: Zusammenfassung von ggf. doppelten oder mehrfachen (Sicherheits-)Maßnahmen in einem Maßnahmenumsetzungsplan.
  • Umsetzung der (Sicherheits-)Maßnahmen: Konzeptionierung und Umsetzung der offenen (Sicherheits-)Maßnahmen zur Erfüllung des angestrebten Sicherheitsniveaus.

 

BSI-Risikoanalyse

Im Zuge des Informationssicherheitsmanagementsystems (ISMS) eines Unternehmens muss gewährleistet werden, dass Risiken die sich aus der Verletzung der klassischen Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) ergeben, identifiziert sowie ordnungsgemäß bewertet und behandelt werden.

Beispielsweise fordert auch die international anerkannte Norm ISO 27001 – bzgl. eines Informationssicherheitssystems – die regelmäßige Erfassung und Analyse von Risiken, die mit der Informationssicherheit in Verbindung stehen. Darauf aufbauend müssen die zugehörigen Eintrittswahrscheinlichkeiten und möglichen Schäden analysiert und eine Bewertung der identifizierten Risiken vorgenommen werden, um angemessene Sicherheitsmaßnahmen zu konzipieren und umzusetzen.

Grundsätzlich kann ein Risiko als negative Abweichung von einem erwarteten Ergebnis bzw. Ereignis definiert werden. Im Rahmen eines ISMS werden insbesondere IT-Risiken adressiert, die in Verbindung mit der Sicherheit in einem Unternehmen verarbeiteten Informationen stehen. Die Risiken können sich demnach aus der Verletzung der klassischen Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) ergeben.

Ausgangslange für die Identifizierung von Informationssicherheitsrisiken für einen betrachteten Unternehmenswert (z.B. Anwendung, IT-System, Kommunikationsverbindung) sind die anwendbaren Gefährdungen bzw. Bedrohungen, die sich auf das betrachtete Zielobjekt auswirken. Darauf aufbauend muss eine Bewertung der zugehörigen Risiken anhand der Eintrittswahrscheinlichkeit und maximal anwendbaren Schadenshöhe erfolgen, um eine Klassifikation der Risiken zu ermöglichen. Die Risikoklassifikation stellt dabei die Grundlage für eine anschließende Auswahl einer Behandlungsoption dar, um die Planung von umzusetzenden Sicherheitsmaßnahmen zu ermöglichen.

Aufgrund der kontinuierlich steigenden Relevanz der IT sowie deren zunehmende Ausführung von Geschäftsprozessen, stellen IT-Risiken einen wesentlichen Bestandteil eines ordnungsgemäßen Risikomanagements dar. Im Rahmen der Geschäftstätigkeiten sowie über die regelmäßige und anlassbezogene Durchführung der Risikoanalyse werden Risiken identifiziert, die sich bspw. durch eine nicht angemessene Umsetzung von technischen und organisatorischen Maßnahmen oder neuen Gefährdungen bzw. Bedrohungen auf einen Unternehmenswert ergeben. Neben den genannten IT-Risiken stellen bspw. auch externe Cyber-Angriffe auf die IT-Systeme eines Unternehmens oder der Diebstahl von sensiblen Informationen ein wesentliches IT-Risiko dar.

Weiterhin kommt auch dem Cyber-Risiko eine wesentliche Bedeutung im Rahmen des Risikomanagements zu. Dies adressiert Risiken, die sich aus sicherheitsrelevanten Aspekten der Netzwerke und Kommunikationsverbindungen eines Unternehmens ergeben.

Grundsätzlich muss eine Risikoanalyse für alle Unternehmenswerte durchgeführt werden, für die ein Schutzbedarf der Kategorie „Hoch“ oder „Sehr hoch“ bzgl. der Vertraulichkeit, Integrität oder Verfügbarkeit festgestellt worden ist. Die identifizierten Risiken müssen in einem Risikoinventar erfasst und regelmäßig sowie anlassbezogen überprüft werden, um die Einhaltung der Vorgaben des ISMS zu gewährleisten.

 

ISO27001

Bei der ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ handelt es sich um eine international anerkannte Norm, die es Unternehmen ermöglicht die Anforderungen für den Aufbau, den Betrieb sowie die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) zu identifizieren. Weiterhin wurde die ISO/IEC 27001 Norm auch über das Deutsche Institut der Normung (DIN) als DIN-Norm veröffentlicht.

Die Anforderungen adressieren insbesondere die ordnungsgemäße Einführung von Sicherheitsmaßnahmen, die u.a. die folgenden Bereiche abdecken:

  • (Unternehmens-)Führung
  • Informationssicherheits- und Risikomanagement
  • Management von Kompetenzen und Ressourcen
  • Steuerung und Lenkung von Dokumentationen
  • Betriebliche Planung und Steuerung
  • Überwachung und Bewertung der Informationssicherheitsleistung
  • Kontinuierlichen Verbesserung des ISMS

Über den Anhang A der ISO/IEC 27001 werden Maßnahmenziele und Maßnahmen aufgeführt, die eine Erfüllung der grundlegenden Anforderungen ermöglichen. Unternehmen können sich hierbei nach ISO27001 zertifizieren lassen, um neben der Minimierung von IT-Risiken und der Etablierung eines ISMS auch die Qualität der Systeme nach außen zu kommunizieren.

 

BSI IT-Sicherheitsgesetz

Zum Beginn des Jahres 2022 startete die Bundesregierung den zweiten Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, das sogenannte IT-Sicherheitsgesetz 2.0. Ziel dieser Gesetzesänderung ist die zunehmende Bedeutung der Informations- und Cyber-Sicherheit in Deutschland. Insbesondere soll hiermit der Schutz der Bundesverwaltung, Kritische Infrastrukturen (KRITIS) sowie Organisationen im besonderen öffentlichen Interesse geregelt werden. Die erste Fassung des IT-Sicherheitsgesetz wurde erweitert und angepasst, um die Angemessenheit von organisatorischen und technischen Vorkehrungen zu schärfen sowie Störungen im Informationsverbund und der darin betriebenen IT-gestützten Systeme, -Komponenten und/oder -Prozesse zu reduzieren.

Die Betreiber kritischer Infrastrukturen werden im BSI-Gesetz (BSIG) definiert. Zu den aktuell geregelten kritischen Infrastrukturen gehören Einrichtungen, Systeme und Komponenten, die in den Sektoren Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angesiedelt sind. Die im BSIG verdeutlichte Kritikalität in den soeben genannten Sektoren begründet sich aus den resultierenden Schäden auf das Gemeinwesen, der durch den Ausfall oder Beeinträchtigung hervorgerufen wird. Es sollen damit Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eingedämmt werden. Der Adressatenkreis des IT-Sicherheitsgesetzes 2.0 hat mindestens alle zwei Jahre die ordnungsgemäße Erfüllung der entsprechenden Anforderungen nachzuweisen. Sämtliche Störungen der Schutzziele (Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit) der im Informationsverbund betriebenen IT-Systeme, Anwendungen und -Prozesse sind unverzüglich bei der Vermutung sowie beim Eintreten unverzüglich an die Kontaktstelle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu melden. Das Unterlassen der verpflichtenden Umsetzung der Anforderungen sowie das ausbleibende Melden von Informationssicherheitsvorfällen ist bußgeldbewehrt.

In erster Linie wurde der Umfang an Pflichten für die als KRITIS festgestellten Betreiber signifikant ausgebaut. So wurden diese beispielsweise um die umfassenderen Meldepflichten bei erheblichen Störungen, Inventarisierung von kritischen Komponenten und Registrierungspflicht beim BSI erweitert. Des Weiteren wurde mit dem IT-SIG 2.0 der Adressatenkreis erweitert, indem die Schwellenwerte zur Identifizierung einer KRITIS-Relevanz niedriger angesetzt worden sind und zeitgleich mit der “Siedlungsabfallentsorgung” und “Unternehmen im besonderen öffentlichen Interesse” neue KRITIS-Sektoren aufgenommen worden sind. Für den Bund impliziert das IT-SIG 2.0 insbesondere erweiterte Befugnisse, sodass bspw. für das BSI neue Aufgabenbereiche und zugleich intensivere Untersuchungsmöglichkeiten hinzukommen. Letztendlich müssen KRITIS-Betreiber mit dem IT-SIG 2.0 im Falle von Ordnungswidrigkeiten auch mit höheren Sanktionen und Bußgeldern rechnen.

Das IT-SIG 2.0 impliziert erweiterte Befugnisse und neue Aufgabenbereiche für das BSI. Konkret heißt dies, dass im Rahmen von Untersuchungen nun auch IT-Systeme genauer geprüft werden und Auskünfte von den zugehörigen Herstellern verlangt werden können. Weiterhin werden die Möglichkeiten der forensischen Prüfungshandlungen erweitert, indem z.B. nun auch Scans an den Schnittstellen (APIs) der IT-Systeme von KRITIS-Betreibern und des Bundes durchgeführt werden können. Weiterhin ermöglicht das IT-SIG 2.0 dem BSI die Erlassung bzw. Anordnung von konkreten Maßnahmen für Anbieter von Telekommunikations-Netzen, wenn dies im Kontext der Beseitigung von Störungen notwendig ist.

KRITIS-Betreiber müssen im Zuge des IT-SIG 2.0 spätestens ab Mai 2023 spezifisch aus Angriffserkennung ausgerichtete Systeme, wie beispielsweise im Kontext eines Security Incident and Event Management Systems (SIEM), betreiben, um kontinuierliche Gefährdungen für die KRITIS-Komponenten zu identifizieren und rechtzeitig gegensteuern zu können. Weiterhin müssen von Herstellern eingesetzte kritische Komponenten KRITIS-Betreibers Mindestanforderungen erfüllen, die mit einer entsprechenden Garantieerklärung oder Zertifizierung versehen ist. Darüber hinaus unterliegen die KRITIS-Betreiber, wie bereits angesprochen, verschärften Meldepflichten, die u.a. Informationen rund um die Behebung des Sicherheitsvorfalls bzw. der Störung umfassen, als auch ggf. betroffene personenbezogene Daten.

 

BSI Standard 200-2 IT Grundschutz-Check Schutzbedarfsfeststellung

Im Rahmen des Informationssicherheitsmanagementsystems (ISMS) muss gewährleistet werden, dass für alle Unternehmenswerte (z.B. Informationen, (Geschäfts-)Prozesse, Anwendungen und IT-Systeme) der zugehörige Schutzbedarf bewertet wird und eine darauf aufbauende Ergreifung angemessener Maßnahmen erfolgen kann. Demnach muss der Schutzbedarf für folgende Schutzziele der Informationssicherheit erfasst werden:

  • Vertraulichkeit: Schutz der Unternehmenswerte vor unbefugten Zugriffen
  • Integrität: Schutz der Unternehmenswerte bzw. Informationen vor unbefugten oder unabsichtlichen Änderungen sowie der Löschung. (Berücksichtigt des öfteren auch die Authentizität, die eine Echtheit der Informationen adressiert)
  • Verfügbarkeit: Sicherstellung der Verfügbarkeit der Unternehmenswerte in einem zugehörigen Zeitrahmen.

Bspw. fordert die international anerkannte Norm ISO 27001 – bzgl. eines Informationssicherheitssystems – die Identifizierung eines angemessenen Schutzniveaus in Bezug auf die Risiken im Zusammenhang mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Dies Schutzbedarfsfeststellung umfasst in einem ersten Schritt die Feststellung des Schutzbedarfs auf Ebene der (Geschäfts-)Prozesse. Darauf aufbauend wird der Schutzbedarf anhand der in einer Strukturanalyse identifizierten Abhängigkeiten auf die weiteren Unternehmenswerte (z.B. Anwendungen, IT-Systeme) vererbt.

Grundsätzlich verfolgt die Schutzbedarfsfeststellung das Ziel das Informationssicherheits- und Risikomanagement bei der Erfassung von Risiken zu unterstützen und eine Identifizierung von technischen und organisatorischen Anforderungen an die Unternehmenswerte zu ermöglichen. Ein Schutzbedarf eines Unternehmenswertes stellt demnach eine Bewertung eines maximal potentiell denkbaren Schadens dar und bildet die Grundlage für eine Ableitung von Sicherheitsanforderungen sowie Ergreifung notwendiger Maßnahmen.

Grundlage für die Feststellung eines Schutzbedarfs eines Unternehmenswertes sind die Schutzbedarfskriterien, die eine einheitliche und vergleichbare Bewertung von Informationssicherheitsrisiken ermöglichen. Diese bewerten die potenziell möglichen Extremschäden, die sich in Verbindung mit der Verletzung eines Schutzziels (Vertraulichkeit, Integrität, Verfügbarkeit) ergeben können.  Im Rahmen der Schutzbedarfsfeststellung werden bspw. die folgenden Schutzbedarfskriterien berücksichtigt:

  • Wirtschaftliche Beeinträchtigungen
  • Behinderung von Arbeitsabläufen und Prozessen
  • Schädigung der Reputation und Außenwirkung
  • Verstöße gegen Regularien, Verträge und Gesetze
  • Beeinträchtigung des informationellen Selbstbestimmungsrechts
  • Verletzung der persönlichen Unversehrtheit

Anhand der Schutzbedarfskriterien werden verschiedene Schadensszenarien dargestellt, die eine Einordnung des Schutzbedarfs in Kategorien (z.B. „Niedrig“, „Mittel“, „Hoch“) ermöglicht.

 

Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 der Datenschutz-Grundverordnung (DSGVO), muss ein Unternehmen eine Auflistung aller Verarbeitungsverfahren bzw. -prozesse von personenbezogenen Daten erstellen und pflegen. Zwar wurde der Begriff „Verzeichnis der Verarbeitungstätigkeiten“ (in der Praxis oft mit „VVT“ abgekürzt“) mit der Veröffentlichung der DSGVO am 25. Mai 2018 eingeführt, dennoch bestand auch zuvor schon die Pflicht zur Führung eines „Verfahrensverzeichnisses“, die sich auf den gesetzlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) begründete.

Gemäß Art. 30 Abs. 1 DSGVO, muss der Verantwortliche der personenbezogenen Daten – bspw. ein Unternehmen, das gemäß Art. 4 Abs. 7 DSGVO allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – das Verzeichnis der Verarbeitungstätigkeiten führen und mindestens folgende Inhalte dokumentieren:

  • Namen und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 UAbs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.

Handelt es sich bei dem zu betrachtenden Unternehmen nicht um die Verantwortlichen der Datenverarbeitung, sondern gemäß Art. 4 Abs. 8 DSGVO einem im Auftrag des Verantwortlichen tätigen Auftragsverarbeiter, so muss dieser ebenfalls ein Verzeichnis der Verarbeitungstätigkeiten führen und folgende Mindestinhalte berücksichtigen:

  • Namen und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 UAbs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs.1.

 

Datenschutzerklärung

Die Datenschutzerklärung informiert darüber, wie die personenbezogenen Daten der natürlichen Personen (bspw. Nutzer, Kunden, Mitarbeiter), die von dem betrachteten Verarbeitungsverfahren betroffen sind, verarbeitet werden. Die Verarbeitung umfasst bspw. die Aufnahme, Speicherung, Übermittlung oder Nutzung der Daten sowie ggf. die Weiterleitung an dritte Parteien. Weiterhin können in der Datenschutzerklärung technische und organisatorische Maßnahmen (TOMs) definiert werden, die durch den Verantwortlichen der Datenverarbeitung ergriffen werden, um das informationelle Selbstbestimmungsrecht der betroffenen Personen zu wahren und bspw. Schäden aus der Verletzung der Vertraulichkeit der Daten für die natürliche Person zu verhindern.

Die Datenschutzerklärung ist von der Einwilligung zur Datenschutzverarbeitung gemäß Art. 7 DSGVO zu unterscheiden. Letztere stellt eine Voraussetzungsmöglichkeit dar, die gemäß Art. 6 Abs. 1 DSGVO erfüllt sein muss, damit eine Verarbeitung der personenbezogenen Daten erfolgen kann. Diese erfolgt durch die natürliche Person selbst und dient als rechtliche Grundlage, um eine Datenverarbeitung durch den Verantwortlichen zu rechtfertigen. Demgegenüber schildert der Verantwortliche in der Datenschutzerklärung die Rahmenbedingungen der Verarbeitung und zielt demzufolge auf eine datenschutzrechtliche Aufklärung der natürlichen Person ab.

 

DSMS

Die Europäische Datenschutz-Grundverordnung (DSGVO) liefert diverse Anforderungen, die zum Schutz der in einer Organisation verarbeiteten personenbezogenen Daten erfüllt werden müssen. Ein entsprechendes Datenschutzmanagementsystem (DSMS) hilft dabei sämtliche Anforderungen, Verarbeitungsprozesse sowie technischen und organisatorischen Maßnahmen, die über die schriftlich fixierte Ordnung der Organisation geregelt sind, zu steuern, kontrollieren und kontinuierlich zu verbessern.

Das zentrale Ziel eines DSMS ist demnach die Sicherstellung des Schutzes der verarbeiteten personenbezogenen Daten sowie die frühzeitige Identifikation und Behebung von datenschutzrechtlichen Risiken. Wesentliche Inhalte und Kernaufgaben eines DSMS sind die

  • Definition der datenschutzrechtlichen Prozesse,
  • Kontrolle und Ausführung der Prozesse,
  • Evaluation der Arbeitsergebnisse und Sicherstellung der gesetzlichen und internen Anforderungen sowie die
  • kontinuierliche Überprüfung und Aktualisierung der Vorgaben und Prozesse zur Aufrechterhaltung eines erforderlichen Datenschutzniveaus.

Als Beispiel für eine bekannte und in der Praxis anerkannte Methode zur Erfüllung der datenschutzrechtlichen Anforderungen ist das Standarddatenschutzmodell (SDM), das bspw. vom IT-Planungsrat für öffentliche Verwaltungen bzw. Behörden empfohlen wird.  Weiterhin wird das SDM über den Baustein CON2 des IT-Grundschutzes als Basis-Anforderungen aufgeführt, wodurch dieses auch im Rahmen einer IT-Grundschutz Zertifizierung erforderlich ist.

 

Datenschutzkonzept

Ein Datenschutzkonzept dient der Aufklärung und Unterrichtung der Mitarbeiter einer Organisation mit Hinblick auf die Verarbeitung der personenbezogenen Daten und der Erfüllung datenschutzrechtlicher Vorgaben, insbesondere der Europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Im Fokus steht dabei das Ziel, das Recht auf informationelle Selbstbestimmung jeder von der Datenverarbeitung der Organisation betroffenen natürlichen Person zu gewährleisten. Darunter fallen neben den Mitarbeitern der Organisation selbst auch alle Kunden sowie Kontaktpersonen von kooperierenden Unternehmen.

Sobald die Organisation die Daten einer natürlichen Person verarbeitet (z.B. Speicherung, Übermittlung, Verwendung, etc.) sind die in einem Datenschutzkonzept definierten Vorgaben und Empfehlungen streng zu befolgen. Die Mitarbeiter werden so auf die Einhaltung der organisationsweiten datenschutzrechtlichen Prozesse hingewiesen und eine Einhaltung der zentralen gesetzgeberischen Regularien sichergestellt.

Beispielhafte Bestandteile eines Datenschutzkonzeptes sind nachfolgend aufgeführt:

  • Inhalt und Grundprinzipien des Datenschutzes
  • Definition der wesentlichen Rollen in der Datenschutzorganisation
    • Geschäftsführung
    • Datenschutzbeauftragter
    • Datenschutzkoordinatoren
    • Zuweisung der Rollen und Eignung
    • Stellvertretungen
    • Zuständige Aufsichtsbehörde
  • Darstellung der wesentlichen Datenschutz-Anforderungen und Prozesse
  • Verpflichtung der Beschäftigten auf die Einhaltung des Datenschutzes
  • Schulungs- und Sensibilisierungsmaßnahmen
  • Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
  • Durchführung von Datenschutz-Folgenabschätzungen
  • Wahrung der Betroffenenrechte und Informationspflichten
  • Prozess zur Archivierung und Löschung personenbezogener Daten
  • Auftragsverarbeitung und gemeinsame Verantwortlichkeit
  • Umgang mit Datenschutzvorfällen
  • Implementierung von technischen und organisatorischen Maßnahmen (TOMs)

 

Datenschutzvorfall

In Anlehnung an Art. 4 Ziffer 12 der Datenschutz-Grundverordnung (DSGVO) kann unter einem Datenschutzvorfall eine Verletzung des Schutzes personenbezogener Daten verstanden werden, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von Daten führt.

Liegt ein derartiger Vorfall vor, muss i.d.R. eine Meldung des Vorfalls erfolgen. Eine Meldung an die zuständige Datenschutzaufsichtsbehörde muss erfolgen, wenn der Vorfall zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. An die betroffene Person selbst muss der Datenschutzvorfall wiederum nur gemeldet werden, wenn ein hohes Risiko besteht.

Die Ermittlung des Risikos ergibt sich wiederum aus der Evaluierung der Eintrittswahrscheinlichkeit und des Schadensszenarios unter Berücksichtigung der Art der betroffenen personenbezogenen Daten. Beispielsweise können Verletzungen Daten, die gemäß Art. 9 DSGVO der besonderen Kategorien personenbezogenen Daten zuzuordnen sind, wie bspw. Gesundheitsdaten, zu schweren Schäden für die natürliche Person führen.

Um eine angemessene Reaktion auf Datenschutzvorfällen in einem Unternehmen zu ermöglichen, sollten grundsätzliche alle Mitarbeiter entsprechend sensibilisiert werden, sodass bspw. im Falle der Identifizierung eines Vorfalls eine rechtzeitige Meldung an den betrieblichen Datenschutzbeauftragten stattfinden kann. Weiterhin muss eine ordnungsgemäße Dokumentation der Risikoeinschätzung sowie der ggf. ergriffenen Maßnahmen erfolgen.

Liegt ein Risiko für die betroffene Person vor, so muss gemäß Art. 33 DSGVO eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Dabei sind die Mindestinhalte der Meldung gemäß Art. 33 Absatz 3 DSGVO zu berücksichtigen:

  1. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Weiterhin muss gemäß Art. 34 DSGVO im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen, auch eine Meldung an die betroffene Person erfolgen, die mindestens die unter b., c. und d. der in Art. 33 Absatz 3 DSGVO aufgeführten Punkte beinhaltet.

chevron-leftchevron-right