Safe Harbor: Das Datenschutzabkommen und sein Ende

Safe Harbor war ein Datenschutzabkommen zwischen den USA und der EU. Es ermöglichte den internationalen Datentransfer in die USA als sogenanntes Drittland. Das Safe-Harbor-Abkommen wurde 2015 durch ein Urteil des Europäischen Gerichtshofs (EuGH) für ungültig erklärt.

Konzerninterner Datentransfer mittels Betriebsvereinbarung

Konzerne sind meist auf eine konzernweite IT-Infrastruktur, beispielsweise ein ERP- oder CRM-System, angewiesen. Die große Herausforderung besteht darin, einen aus Sicht des Datenschutzes rechtskonformen Einsatz zu gewährleisten, ohne dabei größeren technischen oder organisatorischen Aufwand zu erzeugen oder den Datentransfer zu beschränken. Ein geeignetes Mittel dafür kann eine Betriebsvereinbarung sein, deren Form und Inhalte hier erläutert werden.

Einflüsse auf das ISMS gemäß DIN ISO/IEC 27001:2015 erfassen

Damit ein Informationssicherheitsmanagementsystem (ISMS) funktioniert, muss die Situierung des Unternehmens angemessen erfasst werden. Denn nur wenn sämtliche Einflüsse auf das Unternehmen bekannt sind, kann eine vollumfängliche Abschätzung der Bedrohungen und Chancen erfolgen. Wichtig ist es daher, dass das Unternehmen als Teil einer Gesamtstruktur gesehen wird, welche nicht allein von internen Faktoren beeinflusst sondern auch von externen Faktoren affektiert wird. Die neue deutsche Version (DIN ISO/IEC 27001:2015) der ISO 27001 Sicherheitsnorm formuliert konkrete Anforderungen, wie dies geschehen sollte. Wir erklären das Procedere in drei Schritten.

Die neue Risikoanalyse nach DIN ISO/IEC 27001:2015

Durch die Einführung der neuen deutschen Version DIN ISO/IEC 27001:2015 haben sich auch die Vorgaben für die Risikoanalyse im Rahmen der ISO 27001 verändert. Grund dafür ist der Verweis der Risikoanalyse auf die ISO/IEC 31000 Norm, welche Grundsätze und Richtlinien für ein funktionierendes Risikomanagement festlegt. Daher erfahren Sie in diesem Artikel alles Wichtige zu Planung und Durchführung der Risikoanalyse entsprechend des neuen Sicherheitsstandards.

Chancen des Unternehmens in der DIN ISO/IEC 27001:2015

Die neue deutsche Version der ISO 27001 Sicherheitsnorm (DIN ISO/IEC 27001:2015) sieht vor, dass Unternehmen in ihrem Informationssicherheitsmanagementsystem (ISMS) sogenannte Chancen definieren. Dies wirft auf den ersten Blick einige Fragen hinsichtlich der Umsetzung auf. In diesem Artikel zeigen wir, wie mit dieser Anforderung an die Informationssicherheit im Unternehmen richtig umzugehen ist und welchen Mehrwert die Einbeziehung von Chancen im ISMS liefert.

Anleitung: Sicheres Gäste-WLAN im Unternehmen einrichten – 9 Expertentipps

Das Anbieten von WLAN-Zugängen ist inzwischen nicht nur für Hotels zum gängigen Standard geworden. Beinahe jedes Unternehmen mit Publikumsverkehr offeriert seinen Gästen einen Zugang zu seinem Internetanschluss. Dass dies aus rechtlicher Sicht nicht immer unproblematisch ist, haben wir bereits ausführlich in einem anderen Artikel dargestellt. Für Besserung soll nun ein Gesetz zur Neuregelung der Störerhaftung sorgen. Der aktuelle Entwurf davon verlangt „zumutbare Schutzmaßnahmen“ des WLAN-Betreibers, welche Rechtsverletzungen durch Dritte mittels dessen Anschluss verhindern sollen. Welche konkreten Schutzmaßnahmen getroffen werden müssen, kann zumindest teilweise der Gesetzesbegründung entnommen werden: Dort ist die Rede von einer WPA2-Verschlüsselung, der freiwilligen Registrierung der Nutzer des WLANs und einer Belehrung der Nutzer über das Unterlassen von Rechtsverletzungen. Diese Vorgaben alleine dürften jedoch wohl nicht ausreichen, um sich als Unternehmen abzusichern. Daher zeigen wir Ihnen, wie Sie mit Hilfe von neun Maßnahmen eine angemessen sichere Ausgestaltung eines Gäste-WLAN erreichen.

5 Schritte zur sicheren Unternehmens-Kommunikation gemäß DIN ISO/IEC 27001:2015

Eine Anforderung der neuen Sicherheitsnorm DIN ISO/IEC 27001:2015 ist die Regelung der internen und externen Kommunikation. Dadurch sind Unternehmen gezwungen, sich bereits frühzeitig Gedanken über ihre Kommunikationsprozesse bzgl. ihres Informationssicherheitsmanagementsystems (ISMS) zu machen. Der Vorteil bei korrekter Umsetzung ist ein großes Plus an Datensicherheit. Die Experten der activeMind AG erklären anhand von fünf wichtigen Schritten, wie Sie als Unternehmen sicher kommunizieren.

Anleitung: Datenschutzkonformer Einsatz von Outlook Web Access (OWA) im Unternehmen

Viele Mitarbeiter sind grundsätzlich motiviert, auch unterwegs oder von zuhause geschäftliche E-Mails zu lesen und ggf. auch zu bearbeiten. Nicht allen diesen Mitarbeitern stehen dazu geschäftliche Geräte, insbesondere „Diensthandys“ zur Verfügung. Werden aber geschäftliche Informationen auf Geräte übertragen, die außerhalb des Einflussbereichs des Unternehmens befinden (Stichwort: Bring Your Own Device, BYOD), wird es datenschutzrechtlich heikel. Dabei existieren technische Möglichkeiten, die eine legale Lösung ermöglichen: Zum Beispiel Outlook Web Access (OWA), dessen datenschutzkonformen Einsatz der folgende Beitrag erklärt.

Neue Prüfaktivitäten der bayerischen Datenschutz-Aufsichtsbehörde

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weitet seine Prüfaktivitäten bei zufällig ausgewählten Unternehmen aus. Um einen größeren Kreis an Unternehmen erreichen zu können, finden die meisten Prüfungen zunächst schriftlich durch Zusendung eines Fragebogens statt. Welche Fragen zum Datenschutz Unternehmen hierbei beantworten müssen und wie die Geschäftsführung damit umgehen sollte, verraten die Experten der activeMind AG.

5 Änderungen der Leitlinie für Informationssicherheit bei der DIN ISO/IEC 27001:2015

Im Rahmen der neuen deutschen Version der ISO 27001 Sicherheitsnorm (DIN ISO/IEC 27001:2015) ist die Führung des Managements verstärkt in den Fokus gerückt, insbesondere durch einige Änderungen in der Leitlinie für Informationssicherheit. Dem Management kommt im Rahmen eines Informationssicherheitsmanagements eine große Bedeutung zu, weil es für Organisation und Federführung des gesamten Managementsystems zuständig ist. Im Folgenden erläutern wir fünf Änderungen an der Informationssicherheitsleitlinie, deren Umsetzung die Unternehmensleitung zeitnah angehen sollte.