Datensicherheitsbeauftragter
Welche Aufgaben hat ein Datensicherheitsbeauftragter? Gibt es gesetzlich festgeschriebene Aufgaben/Pflichten? Hat jemand hier Erfahrungen damit?
Hallo zusammen,
Zum Problem:
Die Leitung meiner Einrichtung hat mich zum Datensicherheitsbeauftragten gemacht. Normalerweise nickt man so etwas als Arbeitnehmer ja nicht unbesehen ab (Theorie), denkt jedoch oft und gerne an die Sicherung des eigenen Arbeitsplatzes und tut es - "erst mal" - doch (Praxis). Soweit, so schlecht und mir so passiert.
Nach umfangreicher Suche im Netz habe ich dann jede Menge Juristisches und Bundesgesetze zum DatenSCHUTZbeauftragten gefunden (inklusive der guten zweiteiligen Anleitung hier), jedoch keine einheitlichen Bestimmungen für den DatenSICHERHEITSbeauftragten.
1. Gibt es überhaupt gesetzliche Vorgaben zu Rechten und Pflichten eines Datensicherheitsbeauftragten? Oder legt jede Firma selbst fest, was der Datensicherheitsbeauftragte tut?
2. Wenn es gesetzliche Vorgaben gibt, wo finde ich diese?
3. Kennt jemand im Netz Empfehlungen/Erfahrungsberichte von Datensicherheitsbeauftragten aus deren Praxis? (Was ist in eigener Firma durchzusetzen, Software/Hardware, übliche Probleme... die Liste läßt sich fortsetzen.)
Leider gibt es in meiner Einrichtung keine konkreten Tätigkeitsvorgaben außer "ist für die Datensicherheit verantwortlich", auch Datensicherheitsvorgaben muß/kann ich selbst aufstellen. Und: Ja, ich sehe in diesem Fall wie alle hier, daß da jemand zum Datensicherheitsbeauftragten gemacht wurde, um bei einer Prüfung/einem Sicherheitsfall jemanden zu haben, den man a) vorzeigen und b) verantwortlich machen kann.
Ich sehe allerdings die Notwendigkeit der Einrichtung eines Datensicherheitsbeauftragten durchaus als gegeben an und versuche nun, das Beste für die Einrichtung, die Mitarbeiter und mich daraus zu machen! Daß ich mir dabei meine Tätigkeiten/Verantwortlichkeiten selbst zusammensuchen muß und meine Chefs keine Ahnung von der ganzen Sache haben, ist nicht schön...aber gibt's hier jemanden der DAS nicht kennt??
Jetziges Tätigkeitsfeld:
Ich bin in unserer Einrichtung der IT-Admin und habe noch einen Kollegen, der sich um DB-Administration und Intranetportal-Programmierung und -betreuung kümmert. Useranzahl etwa 300, Clients ca. 150, 6 kleinere Server, 5 Außenstellen. Einige Client-Server-Anwendungen (Lohnbuchhaltung, Finanzbuchhaltung, Verwaltung). Mehrere SQL-DB, Intranet, Zeiterfassung. Als Betreuungseinrichtung erstellen und verarbeiten wir personenbezogene Daten.
Zeit für Extraeinarbeitung Tätigkeitsfeld Datensicherheitsbeauftragter:
eigentlich keine , Extrastunden gibt's auch nicht
Konkret ist mir das Fehlen offizieller Vorgaben aufgestoßen, als in der letzten Planunskonferenz ein Abteilungsleiter mein erstes kleines Konzept für die Einführung einer Devicemanagement-Software (Stichwort USB-Medien) mit den Worten zerrissen hat: "Wozu brauchen wir das? Macht nur Ärger und Probleme, wenn ich mal eben schnell einen USB-Stick irgendwo anstecken will. Und MIT dieser Software verhindern wir den Datenab- und zufluß durch berechtigte Personen in's Intranet auch nicht. Zu teuer, kaum Nutzen, nur Probleme."
Meine Geschäftsleitung ist der Auffassung, mit einer Dienstanweisung a la "Kein Mitarbeiter darf firmeneigene Daten mit nach Hause nehmen bzw. Privatmedien am Dienstrechner nutzen." sind sie rechtlich auf der sicheren Seite. Und ich habe - außer meinen fachliche Argumenten - keine Gesetzestexte oder offiziellen Vorgaben, die meinen Anspruch an Datensicherheit untermauern könnten.
Vielleicht kann mir ja jemand mit Tipps, Links oder Ähnlichem helfen hier.
Gruß, Guck
Hallo zusammen,
Zum Problem:
Die Leitung meiner Einrichtung hat mich zum Datensicherheitsbeauftragten gemacht. Normalerweise nickt man so etwas als Arbeitnehmer ja nicht unbesehen ab (Theorie), denkt jedoch oft und gerne an die Sicherung des eigenen Arbeitsplatzes und tut es - "erst mal" - doch (Praxis). Soweit, so schlecht und mir so passiert.
Nach umfangreicher Suche im Netz habe ich dann jede Menge Juristisches und Bundesgesetze zum DatenSCHUTZbeauftragten gefunden (inklusive der guten zweiteiligen Anleitung hier), jedoch keine einheitlichen Bestimmungen für den DatenSICHERHEITSbeauftragten.
1. Gibt es überhaupt gesetzliche Vorgaben zu Rechten und Pflichten eines Datensicherheitsbeauftragten? Oder legt jede Firma selbst fest, was der Datensicherheitsbeauftragte tut?
2. Wenn es gesetzliche Vorgaben gibt, wo finde ich diese?
3. Kennt jemand im Netz Empfehlungen/Erfahrungsberichte von Datensicherheitsbeauftragten aus deren Praxis? (Was ist in eigener Firma durchzusetzen, Software/Hardware, übliche Probleme... die Liste läßt sich fortsetzen.)
Leider gibt es in meiner Einrichtung keine konkreten Tätigkeitsvorgaben außer "ist für die Datensicherheit verantwortlich", auch Datensicherheitsvorgaben muß/kann ich selbst aufstellen. Und: Ja, ich sehe in diesem Fall wie alle hier, daß da jemand zum Datensicherheitsbeauftragten gemacht wurde, um bei einer Prüfung/einem Sicherheitsfall jemanden zu haben, den man a) vorzeigen und b) verantwortlich machen kann.
Ich sehe allerdings die Notwendigkeit der Einrichtung eines Datensicherheitsbeauftragten durchaus als gegeben an und versuche nun, das Beste für die Einrichtung, die Mitarbeiter und mich daraus zu machen! Daß ich mir dabei meine Tätigkeiten/Verantwortlichkeiten selbst zusammensuchen muß und meine Chefs keine Ahnung von der ganzen Sache haben, ist nicht schön...aber gibt's hier jemanden der DAS nicht kennt??
Jetziges Tätigkeitsfeld:
Ich bin in unserer Einrichtung der IT-Admin und habe noch einen Kollegen, der sich um DB-Administration und Intranetportal-Programmierung und -betreuung kümmert. Useranzahl etwa 300, Clients ca. 150, 6 kleinere Server, 5 Außenstellen. Einige Client-Server-Anwendungen (Lohnbuchhaltung, Finanzbuchhaltung, Verwaltung). Mehrere SQL-DB, Intranet, Zeiterfassung. Als Betreuungseinrichtung erstellen und verarbeiten wir personenbezogene Daten.
Zeit für Extraeinarbeitung Tätigkeitsfeld Datensicherheitsbeauftragter:
eigentlich keine , Extrastunden gibt's auch nicht
Konkret ist mir das Fehlen offizieller Vorgaben aufgestoßen, als in der letzten Planunskonferenz ein Abteilungsleiter mein erstes kleines Konzept für die Einführung einer Devicemanagement-Software (Stichwort USB-Medien) mit den Worten zerrissen hat: "Wozu brauchen wir das? Macht nur Ärger und Probleme, wenn ich mal eben schnell einen USB-Stick irgendwo anstecken will. Und MIT dieser Software verhindern wir den Datenab- und zufluß durch berechtigte Personen in's Intranet auch nicht. Zu teuer, kaum Nutzen, nur Probleme."
Meine Geschäftsleitung ist der Auffassung, mit einer Dienstanweisung a la "Kein Mitarbeiter darf firmeneigene Daten mit nach Hause nehmen bzw. Privatmedien am Dienstrechner nutzen." sind sie rechtlich auf der sicheren Seite. Und ich habe - außer meinen fachliche Argumenten - keine Gesetzestexte oder offiziellen Vorgaben, die meinen Anspruch an Datensicherheit untermauern könnten.
Vielleicht kann mir ja jemand mit Tipps, Links oder Ähnlichem helfen hier.
Gruß, Guck
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126942
Url: https://administrator.de/contentid/126942
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo!
Hast du dich mal erkundigt ob vielleicht in deiner Nähe Lehrgänge für den Posten angeboten werden? Bei sowas würde ich mich ja nicht nur auf Internetquellen verlassen, eine Schulung wäre schon wichtig.
Vielleicht kannst du ja auch mal bei euch in der Firma bei der Revision nachfragen, die müssten ein Paar Informationsquellen dazu haben.
Hast du dich mal erkundigt ob vielleicht in deiner Nähe Lehrgänge für den Posten angeboten werden? Bei sowas würde ich mich ja nicht nur auf Internetquellen verlassen, eine Schulung wäre schon wichtig.
Vielleicht kannst du ja auch mal bei euch in der Firma bei der Revision nachfragen, die müssten ein Paar Informationsquellen dazu haben.
Geht ja gut los in deinem neuen zusätzlichen Tätigkeitsfeld. Da macht man jemanden großspurig zum Datensicherheitsbeauftragten und als erste Amtshandlung zerreisst man eine Maßnahme, die dieser für sinnvoll und wichtig hält
Über den (Daten-)Sicherheitsbeauftragen findet sich einiges im BSI-Grundschutzhandbuch. So wie ich das sehe ist das in aller Regel entweder jemand aus der IT oder der sonstige Sicherheitsbeauftragte macht den Part IT noch zusätzlich mit. Man denke an große Unternehmen, die eine Beauftragten für die innere und äußere Sicherheit, Brandschutz, Einbruchschutz usw. haben. Im Mittelstand macht das halt oft irgendwer von dem man annimmt, er kennt sich mit der Materie aus und bekleidet die Postition verantwortungvoll, mit.
Vielleicht solltest du eigentlich ja auch Datenschutzbeauftragter werden und dein Chef hat da einfach was verwechselt. Meinem passiert das (im Gespräch) auch immer mal wieder
Manuel
Über den (Daten-)Sicherheitsbeauftragen findet sich einiges im BSI-Grundschutzhandbuch. So wie ich das sehe ist das in aller Regel entweder jemand aus der IT oder der sonstige Sicherheitsbeauftragte macht den Part IT noch zusätzlich mit. Man denke an große Unternehmen, die eine Beauftragten für die innere und äußere Sicherheit, Brandschutz, Einbruchschutz usw. haben. Im Mittelstand macht das halt oft irgendwer von dem man annimmt, er kennt sich mit der Materie aus und bekleidet die Postition verantwortungvoll, mit.
Vielleicht solltest du eigentlich ja auch Datenschutzbeauftragter werden und dein Chef hat da einfach was verwechselt. Meinem passiert das (im Gespräch) auch immer mal wieder
Manuel
Es kommt sehr häufig vor, dass Datenschutz und Datensicherheit verwechselt wird. Das englische "privacy" für Datenschutz trifft den Terminus weitaus besser.
Das Bundesdatenschutzgesetz (BDSG) besagt, dass ein Datenschutzbeauftragter persönlich und fachlich geeignet sein muss. Wenn ihm die fachliche Kompetenz fehlt, kann er sich "Hilfspersonal" stellen lassen. Kann es sein, dass Du - weil Du ja sicherlich die fachliche Kompetenz besitzt - Eurem Datenschutzbeauftragten zu Seite stehen sollst?
Ich sitze in einem ähnlichen Boot. Administration & Datenschutz vertragen sich allerdings nicht immer. Aber Administration und Datensicherheit auf alle Fälle.
Zu Deiner eigentlichen Frage: Wie bereits erwähnt ist das BSI-Grundschutzhandbuch die "Bibel" was die Datensicherheit angeht. Das Thema Datensicherheit ist ebenfalls ein zentrales Thema bei diversen Datenschutz-Seminaren. Deshalb ist es auch ratsam, sich mit dem Thema Datenschutz auseinander zu setzen.
Viele Grüße!
Das Bundesdatenschutzgesetz (BDSG) besagt, dass ein Datenschutzbeauftragter persönlich und fachlich geeignet sein muss. Wenn ihm die fachliche Kompetenz fehlt, kann er sich "Hilfspersonal" stellen lassen. Kann es sein, dass Du - weil Du ja sicherlich die fachliche Kompetenz besitzt - Eurem Datenschutzbeauftragten zu Seite stehen sollst?
Ich sitze in einem ähnlichen Boot. Administration & Datenschutz vertragen sich allerdings nicht immer. Aber Administration und Datensicherheit auf alle Fälle.
Zu Deiner eigentlichen Frage: Wie bereits erwähnt ist das BSI-Grundschutzhandbuch die "Bibel" was die Datensicherheit angeht. Das Thema Datensicherheit ist ebenfalls ein zentrales Thema bei diversen Datenschutz-Seminaren. Deshalb ist es auch ratsam, sich mit dem Thema Datenschutz auseinander zu setzen.
Viele Grüße!
Es sieht so aus, als sollst du eine reine Alibifunktion haben und nur dafür da sein, damit man im Fall der Fälle mit dem Finger auf dich zeigen kann.
Wenn sich diese Vermutung erhärtet würde ich an deiner Stelle alle Vorschläge, die zur Erhaltung bzw. Steigerung der Datensicherheit beitragen schriftlich einreichen und ebenso schriftlich (so wird es kommen) ablehnen lassen.
Sollte sich darauf keiner aus der GL einlassen (und davon gehe ich aus, weil sie den Braten riechen werden) bestätigst du einfach jede mündliche Ablehnung per eMail an die GL und weißt nochmal auf die evtl. dadurch resultierenden Konsequenzen hin. Damit solltest du dann schneidig zurück zeigen können, wenn urplötzlich ein nackter Finger auf dich zeigt.
Deine Konzeptvorschläge solltest du ausführlich mit Begründung, Kosten und den zu erwartenden Nachteilen bzw. Risiken im Falle der Nicht-Umsetzung einreichen.
Manuel
Wenn sich diese Vermutung erhärtet würde ich an deiner Stelle alle Vorschläge, die zur Erhaltung bzw. Steigerung der Datensicherheit beitragen schriftlich einreichen und ebenso schriftlich (so wird es kommen) ablehnen lassen.
Sollte sich darauf keiner aus der GL einlassen (und davon gehe ich aus, weil sie den Braten riechen werden) bestätigst du einfach jede mündliche Ablehnung per eMail an die GL und weißt nochmal auf die evtl. dadurch resultierenden Konsequenzen hin. Damit solltest du dann schneidig zurück zeigen können, wenn urplötzlich ein nackter Finger auf dich zeigt.
Deine Konzeptvorschläge solltest du ausführlich mit Begründung, Kosten und den zu erwartenden Nachteilen bzw. Risiken im Falle der Nicht-Umsetzung einreichen.
Manuel
Frag doch mal die vorhandenen DSB, warum sie ihren Auftrag nicht mehr so wirklich ernst nehmen. Ich würde vermuten, denen erging es ähnlich. Eine Weile voller Enthusiasmus dabei und immer wieder abgebügelt. Irgendwann haben die bestimmt aufgegeben.
Dann reift halt früher oder später die Erkenntnis Melden macht frei und belastet Vorgesetzte Nicht schön, aber in dem Fall zweckmäßig und zum Selbstschutz unerlässlich...
Dann reift halt früher oder später die Erkenntnis Melden macht frei und belastet Vorgesetzte Nicht schön, aber in dem Fall zweckmäßig und zum Selbstschutz unerlässlich...
Hallo Guck, da mir in Kürze ähnliches als aushäusiger Datensicherheitsbeauftragter in einer kleinen Firma mit 20 Monitoren, die jeweils von mehreren Usern benutzt werden, bevorsteht, suchte ich mit diesem Suchwort im Web und stieß auf deinen Aufsatz aus 2009 und frage wie ist der Stand der Dinge today?
Meine Aufgabe wäre es hauptsächlich von zu Hause aus den Einsatz der Arbeitsplätze zu beobachten, soll die Grundbedingungen für den Umgang mit dem Internet in der Firma einführen, da die alle noch so ziemlich unbeleckt sind, und deren Netzwerkadministrator damit ausgelastet ist, die Monitore und Drucker im Netzwerk zu verwalten und am Laufen zu halten.
Würde mich sehr interessieren, wie du unterdessen diesen Job ausführst und verwaltest und dein jetziger Stand in der Firma.
Wäre dir verbunden, wenn dur mir direkt antworten würdest.
Meinen Dank im voraus.
Lieber Gruß, Günter-Julius Hammes
gjh@nord-west-service.de
Meine Aufgabe wäre es hauptsächlich von zu Hause aus den Einsatz der Arbeitsplätze zu beobachten, soll die Grundbedingungen für den Umgang mit dem Internet in der Firma einführen, da die alle noch so ziemlich unbeleckt sind, und deren Netzwerkadministrator damit ausgelastet ist, die Monitore und Drucker im Netzwerk zu verwalten und am Laufen zu halten.
Würde mich sehr interessieren, wie du unterdessen diesen Job ausführst und verwaltest und dein jetziger Stand in der Firma.
Wäre dir verbunden, wenn dur mir direkt antworten würdest.
Meinen Dank im voraus.
Lieber Gruß, Günter-Julius Hammes
gjh@nord-west-service.de