10
Datensicherheitsbeauftragter
Welche Aufgaben hat ein Datensicherheitsbeauftragter? Gibt es gesetzlich festgeschriebene Aufgaben/Pflichten? Hat jemand hier Erfahrungen damit?
Hallo zusammen,
Zum Problem:
Die Leitung meiner Einrichtung hat mich zum Datensicherheitsbeauftragten gemacht. Normalerweise nickt man so etwas als Arbeitnehmer ja nicht unbesehen ab (Theorie), denkt jedoch oft und gerne an die Sicherung des eigenen Arbeitsplatzes und tut es - "erst mal" - doch (Praxis). Soweit, so schlecht und mir so passiert.
Nach umfangreicher Suche im Netz habe ich dann jede Menge Juristisches und Bundesgesetze zum DatenSCHUTZbeauftragten gefunden (inklusive der guten zweiteiligen Anleitung hier), jedoch keine einheitlichen Bestimmungen für den DatenSICHERHEITSbeauftragten.
1. Gibt es überhaupt gesetzliche Vorgaben zu Rechten und Pflichten eines Datensicherheitsbeauftragten? Oder legt jede Firma selbst fest, was der Datensicherheitsbeauftragte tut?
2. Wenn es gesetzliche Vorgaben gibt, wo finde ich diese?
3. Kennt jemand im Netz Empfehlungen/Erfahrungsberichte von Datensicherheitsbeauftragten aus deren Praxis? (Was ist in eigener Firma durchzusetzen, Software/Hardware, übliche Probleme... die Liste läßt sich fortsetzen.)
Leider gibt es in meiner Einrichtung keine konkreten Tätigkeitsvorgaben außer "ist für die Datensicherheit verantwortlich", auch Datensicherheitsvorgaben muß/kann ich selbst aufstellen. Und: Ja, ich sehe in diesem Fall wie alle hier, daß da jemand zum Datensicherheitsbeauftragten gemacht wurde, um bei einer Prüfung/einem Sicherheitsfall jemanden zu haben, den man a) vorzeigen und b) verantwortlich machen kann.
Ich sehe allerdings die Notwendigkeit der Einrichtung eines Datensicherheitsbeauftragten durchaus als gegeben an und versuche nun, das Beste für die Einrichtung, die Mitarbeiter und mich daraus zu machen! Daß ich mir dabei meine Tätigkeiten/Verantwortlichkeiten selbst zusammensuchen muß und meine Chefs keine Ahnung von der ganzen Sache haben, ist nicht schön...aber gibt's hier jemanden der DAS nicht kennt??
Jetziges Tätigkeitsfeld:
Ich bin in unserer Einrichtung der IT-Admin und habe noch einen Kollegen, der sich um DB-Administration und Intranetportal-Programmierung und -betreuung kümmert. Useranzahl etwa 300, Clients ca. 150, 6 kleinere Server, 5 Außenstellen. Einige Client-Server-Anwendungen (Lohnbuchhaltung, Finanzbuchhaltung, Verwaltung). Mehrere SQL-DB, Intranet, Zeiterfassung. Als Betreuungseinrichtung erstellen und verarbeiten wir personenbezogene Daten.
Zeit für Extraeinarbeitung Tätigkeitsfeld Datensicherheitsbeauftragter:
eigentlich keine
, Extrastunden gibt's auch nicht
Konkret ist mir das Fehlen offizieller Vorgaben aufgestoßen, als in der letzten Planunskonferenz ein Abteilungsleiter mein erstes kleines Konzept für die Einführung einer Devicemanagement-Software (Stichwort USB-Medien) mit den Worten zerrissen hat: "Wozu brauchen wir das? Macht nur Ärger und Probleme, wenn ich mal eben schnell einen USB-Stick irgendwo anstecken will. Und MIT dieser Software verhindern wir den Datenab- und zufluß durch berechtigte Personen in's Intranet auch nicht. Zu teuer, kaum Nutzen, nur Probleme."
Meine Geschäftsleitung ist der Auffassung, mit einer Dienstanweisung a la "Kein Mitarbeiter darf firmeneigene Daten mit nach Hause nehmen bzw. Privatmedien am Dienstrechner nutzen." sind sie rechtlich auf der sicheren Seite. Und ich habe - außer meinen fachliche Argumenten - keine Gesetzestexte oder offiziellen Vorgaben, die meinen Anspruch an Datensicherheit untermauern könnten.
Vielleicht kann mir ja jemand mit Tipps, Links oder Ähnlichem helfen hier.
Gruß, Guck
Zum Problem:
Die Leitung meiner Einrichtung hat mich zum Datensicherheitsbeauftragten gemacht. Normalerweise nickt man so etwas als Arbeitnehmer ja nicht unbesehen ab (Theorie), denkt jedoch oft und gerne an die Sicherung des eigenen Arbeitsplatzes und tut es - "erst mal" - doch (Praxis). Soweit, so schlecht und mir so passiert.
Nach umfangreicher Suche im Netz habe ich dann jede Menge Juristisches und Bundesgesetze zum DatenSCHUTZbeauftragten gefunden (inklusive der guten zweiteiligen Anleitung hier), jedoch keine einheitlichen Bestimmungen für den DatenSICHERHEITSbeauftragten.
1. Gibt es überhaupt gesetzliche Vorgaben zu Rechten und Pflichten eines Datensicherheitsbeauftragten? Oder legt jede Firma selbst fest, was der Datensicherheitsbeauftragte tut?
2. Wenn es gesetzliche Vorgaben gibt, wo finde ich diese?
3. Kennt jemand im Netz Empfehlungen/Erfahrungsberichte von Datensicherheitsbeauftragten aus deren Praxis? (Was ist in eigener Firma durchzusetzen, Software/Hardware, übliche Probleme... die Liste läßt sich fortsetzen.)
Leider gibt es in meiner Einrichtung keine konkreten Tätigkeitsvorgaben außer "ist für die Datensicherheit verantwortlich", auch Datensicherheitsvorgaben muß/kann ich selbst aufstellen. Und: Ja, ich sehe in diesem Fall wie alle hier, daß da jemand zum Datensicherheitsbeauftragten gemacht wurde, um bei einer Prüfung/einem Sicherheitsfall jemanden zu haben, den man a) vorzeigen und b) verantwortlich machen kann.
Ich sehe allerdings die Notwendigkeit der Einrichtung eines Datensicherheitsbeauftragten durchaus als gegeben an und versuche nun, das Beste für die Einrichtung, die Mitarbeiter und mich daraus zu machen! Daß ich mir dabei meine Tätigkeiten/Verantwortlichkeiten selbst zusammensuchen muß und meine Chefs keine Ahnung von der ganzen Sache haben, ist nicht schön...aber gibt's hier jemanden der DAS nicht kennt??
Jetziges Tätigkeitsfeld:
Ich bin in unserer Einrichtung der IT-Admin und habe noch einen Kollegen, der sich um DB-Administration und Intranetportal-Programmierung und -betreuung kümmert. Useranzahl etwa 300, Clients ca. 150, 6 kleinere Server, 5 Außenstellen. Einige Client-Server-Anwendungen (Lohnbuchhaltung, Finanzbuchhaltung, Verwaltung). Mehrere SQL-DB, Intranet, Zeiterfassung. Als Betreuungseinrichtung erstellen und verarbeiten wir personenbezogene Daten.
Zeit für Extraeinarbeitung Tätigkeitsfeld Datensicherheitsbeauftragter:
eigentlich keine
, Extrastunden gibt's auch nichtKonkret ist mir das Fehlen offizieller Vorgaben aufgestoßen, als in der letzten Planunskonferenz ein Abteilungsleiter mein erstes kleines Konzept für die Einführung einer Devicemanagement-Software (Stichwort USB-Medien) mit den Worten zerrissen hat: "Wozu brauchen wir das? Macht nur Ärger und Probleme, wenn ich mal eben schnell einen USB-Stick irgendwo anstecken will. Und MIT dieser Software verhindern wir den Datenab- und zufluß durch berechtigte Personen in's Intranet auch nicht. Zu teuer, kaum Nutzen, nur Probleme."
Meine Geschäftsleitung ist der Auffassung, mit einer Dienstanweisung a la "Kein Mitarbeiter darf firmeneigene Daten mit nach Hause nehmen bzw. Privatmedien am Dienstrechner nutzen." sind sie rechtlich auf der sicheren Seite. Und ich habe - außer meinen fachliche Argumenten - keine Gesetzestexte oder offiziellen Vorgaben, die meinen Anspruch an Datensicherheit untermauern könnten.
Vielleicht kann mir ja jemand mit Tipps, Links oder Ähnlichem helfen hier.
Gruß, Guck
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126942
Url: https://administrator.de/contentid/126942
Printed on: April 19, 2024 at 11:04 o'clock
10 Comments
Latest comment
Hallo!
Hast du dich mal erkundigt ob vielleicht in deiner Nähe Lehrgänge für den Posten angeboten werden? Bei sowas würde ich mich ja nicht nur auf Internetquellen verlassen, eine Schulung wäre schon wichtig.
Vielleicht kannst du ja auch mal bei euch in der Firma bei der Revision nachfragen, die müssten ein Paar Informationsquellen dazu haben.
Hast du dich mal erkundigt ob vielleicht in deiner Nähe Lehrgänge für den Posten angeboten werden? Bei sowas würde ich mich ja nicht nur auf Internetquellen verlassen, eine Schulung wäre schon wichtig.
Vielleicht kannst du ja auch mal bei euch in der Firma bei der Revision nachfragen, die müssten ein Paar Informationsquellen dazu haben.
Geht ja gut los in deinem neuen zusätzlichen Tätigkeitsfeld. Da macht man jemanden großspurig zum Datensicherheitsbeauftragten und als erste Amtshandlung zerreisst man eine Maßnahme, die dieser für sinnvoll und wichtig hält 
Über den (Daten-)Sicherheitsbeauftragen findet sich einiges im BSI-Grundschutzhandbuch. So wie ich das sehe ist das in aller Regel entweder jemand aus der IT oder der sonstige Sicherheitsbeauftragte macht den Part IT noch zusätzlich mit. Man denke an große Unternehmen, die eine Beauftragten für die innere und äußere Sicherheit, Brandschutz, Einbruchschutz usw. haben. Im Mittelstand macht das halt oft irgendwer von dem man annimmt, er kennt sich mit der Materie aus und bekleidet die Postition verantwortungvoll, mit.
Vielleicht solltest du eigentlich ja auch Datenschutzbeauftragter werden und dein Chef hat da einfach was verwechselt. Meinem passiert das (im Gespräch) auch immer mal wieder
Manuel
Über den (Daten-)Sicherheitsbeauftragen findet sich einiges im BSI-Grundschutzhandbuch. So wie ich das sehe ist das in aller Regel entweder jemand aus der IT oder der sonstige Sicherheitsbeauftragte macht den Part IT noch zusätzlich mit. Man denke an große Unternehmen, die eine Beauftragten für die innere und äußere Sicherheit, Brandschutz, Einbruchschutz usw. haben. Im Mittelstand macht das halt oft irgendwer von dem man annimmt, er kennt sich mit der Materie aus und bekleidet die Postition verantwortungvoll, mit.
Vielleicht solltest du eigentlich ja auch Datenschutzbeauftragter werden und dein Chef hat da einfach was verwechselt. Meinem passiert das (im Gespräch) auch immer mal wieder
Manuel
Ja, ein Lehrgang bzw. eine Fortbildung für Datensicherheitsbeauftragte wäre natürlich Klasse - finde aber hier in der Gegend lediglich Sachen, die mit dem üblichen DSB (Datenschutzbeauftragten) zu tun haben. Habe mich deshalb ja bereits gefragt, ob es "den" Datensicherheitsbeauftragten offiziell überhaupt gibt - oder ob das nur eine individuelle Firmenentscheidung ist (die manchmal sogar auf der puren Unkenntniss der Sachlage und Verwechslung durch die Chefs mit dem Terminus Datenschutzbeauftragter beruht).
Solange ich nicht weiß, wofür GENAU ich denn verantwortlich gemacht werden kann, solange kann ich leider auch schlecht argumentieren, wenn mal wieder jemand "geht nicht, brauchen wir nicht" meint.
Solange ich nicht weiß, wofür GENAU ich denn verantwortlich gemacht werden kann, solange kann ich leider auch schlecht argumentieren, wenn mal wieder jemand "geht nicht, brauchen wir nicht" meint.
BSI-Grundschutzhandbuch
Genau so etwas habe ich gesucht!!! Supertipp, danke.
Zum Thema Datenschutzbeauftragter und Verwechslung: siehe mein Kommentar oben.
Genau so etwas habe ich gesucht!!! Supertipp, danke.
Zum Thema Datenschutzbeauftragter und Verwechslung: siehe mein Kommentar oben
.
Es kommt sehr häufig vor, dass Datenschutz und Datensicherheit verwechselt wird. Das englische "privacy" für Datenschutz trifft den Terminus weitaus besser.
Das Bundesdatenschutzgesetz (BDSG) besagt, dass ein Datenschutzbeauftragter persönlich und fachlich geeignet sein muss. Wenn ihm die fachliche Kompetenz fehlt, kann er sich "Hilfspersonal" stellen lassen. Kann es sein, dass Du - weil Du ja sicherlich die fachliche Kompetenz besitzt - Eurem Datenschutzbeauftragten zu Seite stehen sollst?
Ich sitze in einem ähnlichen Boot. Administration & Datenschutz vertragen sich allerdings nicht immer. Aber Administration und Datensicherheit auf alle Fälle.
Zu Deiner eigentlichen Frage: Wie bereits erwähnt ist das BSI-Grundschutzhandbuch die "Bibel" was die Datensicherheit angeht. Das Thema Datensicherheit ist ebenfalls ein zentrales Thema bei diversen Datenschutz-Seminaren. Deshalb ist es auch ratsam, sich mit dem Thema Datenschutz auseinander zu setzen.
Viele Grüße!
Das Bundesdatenschutzgesetz (BDSG) besagt, dass ein Datenschutzbeauftragter persönlich und fachlich geeignet sein muss. Wenn ihm die fachliche Kompetenz fehlt, kann er sich "Hilfspersonal" stellen lassen. Kann es sein, dass Du - weil Du ja sicherlich die fachliche Kompetenz besitzt - Eurem Datenschutzbeauftragten zu Seite stehen sollst?
Ich sitze in einem ähnlichen Boot. Administration & Datenschutz vertragen sich allerdings nicht immer. Aber Administration und Datensicherheit auf alle Fälle.
Zu Deiner eigentlichen Frage: Wie bereits erwähnt ist das BSI-Grundschutzhandbuch die "Bibel" was die Datensicherheit angeht. Das Thema Datensicherheit ist ebenfalls ein zentrales Thema bei diversen Datenschutz-Seminaren. Deshalb ist es auch ratsam, sich mit dem Thema Datenschutz auseinander zu setzen.
Viele Grüße!
Das BSI-Grundschutzhandbuch ist in der Tat ein guter Tipp, lese mich gerade ein. Danke dafür.
Zum Thema DSB:
Habe mal etwas recherchiert hier in meiner Firma. Es gibt Datenschutzbeauftragte für jeden größeren Bereich - jedenfalls auf dem Papier. Schulungen wurden zuletzt in 2001 besucht, offensichtlich hat sich bereits seit Jahren niemand mehr um das Thema gekümmert. Möglicherweise wissen die Personen selbst nicht mehr, daß sie DSB sind, eine Person ist bereits ohne Nachfolger ausgeschieden...
Die fachliche IT-Kompetenz der DSB reicht von "PC-Neuling" bis etwa zu "Simpler Office-Anwender". Irgendeine Tätigkeit der DSB erfolgte in den letzten 6 Jahren mE nicht. Also auch keine Zusammenarbeit mit mir bisher.
Da ich ja zudem lediglich durch Befragung von Kollegen die DSB herausgefunden habe, kann von einem "zur Seite stellen" durch unsere Geschäftsleitung auch kaum die Rede sein.
Ist das der Standardzustand in der Praxis oder geht es bei uns besonders stark drunter und drüber?
Verwechselt wurde in meinem Fall Datenschutz und Datensicherheit warscheinlich nicht. Leider hat die GL nur sehr vage Vorstellungen, was mein zusätzliches Aufgabenfeld Datensicherheit konkret bedeutet (sind technische Laien), es kommen da solche Aussagen wie "unsere Daten sollen sicher sein" und "dürfen nicht verlorengehen". Leider finde ich bei meinen Bemühungen, WIE das zu bewerkstelligen ist, kaum echte Unterstützung, die meisten Vorschläge werden als "überzogen" oder "zu teuer" abgeschmettert. Darum bin ich gerade auf der Suche nach irgendwelchen gesetzlichen Vorgaben, die eine Einrichtung (Personenpflege und -förderung) hinsichtlich Datensicherheitstechnik einhalten MUSS.
Und als Nächstes kümmere ich mich mal um den Besuch eines Datenschutz-Seminars...
Danke und Gruß
Zum Thema DSB:
Habe mal etwas recherchiert hier in meiner Firma. Es gibt Datenschutzbeauftragte für jeden größeren Bereich - jedenfalls auf dem Papier. Schulungen wurden zuletzt in 2001 besucht, offensichtlich hat sich bereits seit Jahren niemand mehr um das Thema gekümmert. Möglicherweise wissen die Personen selbst nicht mehr, daß sie DSB sind, eine Person ist bereits ohne Nachfolger ausgeschieden...
Die fachliche IT-Kompetenz der DSB reicht von "PC-Neuling" bis etwa zu "Simpler Office-Anwender". Irgendeine Tätigkeit der DSB erfolgte in den letzten 6 Jahren mE nicht
. Also auch keine Zusammenarbeit mit mir bisher.Da ich ja zudem lediglich durch Befragung von Kollegen die DSB herausgefunden habe, kann von einem "zur Seite stellen" durch unsere Geschäftsleitung auch kaum die Rede sein.
Ist das der Standardzustand in der Praxis oder geht es bei uns besonders stark drunter und drüber?
Verwechselt wurde in meinem Fall Datenschutz und Datensicherheit warscheinlich nicht. Leider hat die GL nur sehr vage Vorstellungen, was mein zusätzliches Aufgabenfeld Datensicherheit konkret bedeutet (sind technische Laien), es kommen da solche Aussagen wie "unsere Daten sollen sicher sein" und "dürfen nicht verlorengehen". Leider finde ich bei meinen Bemühungen, WIE das zu bewerkstelligen ist, kaum echte Unterstützung, die meisten Vorschläge werden als "überzogen" oder "zu teuer" abgeschmettert. Darum bin ich gerade auf der Suche nach irgendwelchen gesetzlichen Vorgaben, die eine Einrichtung (Personenpflege und -förderung) hinsichtlich Datensicherheitstechnik einhalten MUSS.
Und als Nächstes kümmere ich mich mal um den Besuch eines Datenschutz-Seminars...
Danke und Gruß
Es sieht so aus, als sollst du eine reine Alibifunktion haben und nur dafür da sein, damit man im Fall der Fälle mit dem Finger auf dich zeigen kann.
Wenn sich diese Vermutung erhärtet würde ich an deiner Stelle alle Vorschläge, die zur Erhaltung bzw. Steigerung der Datensicherheit beitragen schriftlich einreichen und ebenso schriftlich (so wird es kommen) ablehnen lassen.
Sollte sich darauf keiner aus der GL einlassen (und davon gehe ich aus, weil sie den Braten riechen werden) bestätigst du einfach jede mündliche Ablehnung per eMail an die GL und weißt nochmal auf die evtl. dadurch resultierenden Konsequenzen hin. Damit solltest du dann schneidig zurück zeigen können, wenn urplötzlich ein nackter Finger auf dich zeigt.
Deine Konzeptvorschläge solltest du ausführlich mit Begründung, Kosten und den zu erwartenden Nachteilen bzw. Risiken im Falle der Nicht-Umsetzung einreichen.
Manuel
Wenn sich diese Vermutung erhärtet würde ich an deiner Stelle alle Vorschläge, die zur Erhaltung bzw. Steigerung der Datensicherheit beitragen schriftlich einreichen und ebenso schriftlich (so wird es kommen) ablehnen lassen.
Sollte sich darauf keiner aus der GL einlassen (und davon gehe ich aus, weil sie den Braten riechen werden) bestätigst du einfach jede mündliche Ablehnung per eMail an die GL und weißt nochmal auf die evtl. dadurch resultierenden Konsequenzen hin. Damit solltest du dann schneidig zurück zeigen können, wenn urplötzlich ein nackter Finger auf dich zeigt.
Deine Konzeptvorschläge solltest du ausführlich mit Begründung, Kosten und den zu erwartenden Nachteilen bzw. Risiken im Falle der Nicht-Umsetzung einreichen.
Manuel
Genauso sehe ich das auch. Gebe Dir vollkommen recht.
Also jede Menge sinnloser Zusatzarbeit - ich habe ja sonst nix zu tun.
Also jede Menge sinnloser Zusatzarbeit - ich habe ja sonst nix zu tun.
Frag doch mal die vorhandenen DSB, warum sie ihren Auftrag nicht mehr so wirklich ernst nehmen. Ich würde vermuten, denen erging es ähnlich. Eine Weile voller Enthusiasmus dabei und immer wieder abgebügelt. Irgendwann haben die bestimmt aufgegeben.
Dann reift halt früher oder später die Erkenntnis Melden macht frei und belastet Vorgesetzte Nicht schön, aber in dem Fall zweckmäßig und zum Selbstschutz unerlässlich...
Dann reift halt früher oder später die Erkenntnis Melden macht frei und belastet Vorgesetzte Nicht schön, aber in dem Fall zweckmäßig und zum Selbstschutz unerlässlich...
Hallo Guck, da mir in Kürze ähnliches als aushäusiger Datensicherheitsbeauftragter in einer kleinen Firma mit 20 Monitoren, die jeweils von mehreren Usern benutzt werden, bevorsteht, suchte ich mit diesem Suchwort im Web und stieß auf deinen Aufsatz aus 2009 und frage wie ist der Stand der Dinge today?
Meine Aufgabe wäre es hauptsächlich von zu Hause aus den Einsatz der Arbeitsplätze zu beobachten, soll die Grundbedingungen für den Umgang mit dem Internet in der Firma einführen, da die alle noch so ziemlich unbeleckt sind, und deren Netzwerkadministrator damit ausgelastet ist, die Monitore und Drucker im Netzwerk zu verwalten und am Laufen zu halten.
Würde mich sehr interessieren, wie du unterdessen diesen Job ausführst und verwaltest und dein jetziger Stand in der Firma.
Wäre dir verbunden, wenn dur mir direkt antworten würdest.
Meinen Dank im voraus.
Lieber Gruß, Günter-Julius Hammes
gjh@nord-west-service.de
Meine Aufgabe wäre es hauptsächlich von zu Hause aus den Einsatz der Arbeitsplätze zu beobachten, soll die Grundbedingungen für den Umgang mit dem Internet in der Firma einführen, da die alle noch so ziemlich unbeleckt sind, und deren Netzwerkadministrator damit ausgelastet ist, die Monitore und Drucker im Netzwerk zu verwalten und am Laufen zu halten.
Würde mich sehr interessieren, wie du unterdessen diesen Job ausführst und verwaltest und dein jetziger Stand in der Firma.
Wäre dir verbunden, wenn dur mir direkt antworten würdest.
Meinen Dank im voraus.
Lieber Gruß, Günter-Julius Hammes
gjh@nord-west-service.de
