TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN |  KONTAKT & HILFE |  IMPRESSUM |  AGBs |  REGISTRIEREN |  MIT SSL
dozenten-boerse.de
das original.einfach.besser
TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN
Jetzt auf der dozenten-boerse.de registrieren !
Mitglieder
         hier sind Sie richtig
Benutzername
Passwort
 

kostenfrei anmeldenals Trainer anmelden & dabei sein?
kostenfrei anmeldenkostenlos suchen & ausschreiben?kostenfrei anmeldenZugangsdaten vergessen ?
   QuickNav: Trainer & Dozenten  |   Gesuche  |   Termine |   Seminare |   Fachartikel |   News |   Verbände |   Partner |  Registrieren
Und keiner will es gewesen sein. 02.09.2014
  Dieser Fachartikel thematisiert die Umsetzung der Eingabekontrolle in Unternehmen. Neben der Definition und den Bestandteilen wird auch die Relevanz der Umsetzung dieser Maßnahme in Unternehmen erörtert.
  Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. der Anlage zu § 9 BDSG sind hinreichend bekannt. Mit insgesamt acht Maßnahmen hat der Gesetzgeber versucht, eine Art Mindeststandard für den Schutz von personenbezogenen Daten zu schaffen. Die Liste ist nicht als Empfehlung zu sehen, sondern verpflichtender Bestandteil der gesetzlichen Regelungen. Dabei sind immer alle Maßnahmen umzusetzen.

Folgende Maßnahmen sind im Anhang zu § 9 BDSG zu finden:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

Die meisten dieser Maßnahmen werden im Tagesgeschäft der Unternehmen mehr oder weniger automatisch umgesetzt. So werden wohl alle Unternehmen versuchen, den Zugang zu oder den Zugriff auf schützenswerte Daten einzuschränken oder zu verhindern.

Die Eingabekontrolle fristet allerdings oft eine Art Schattendasein. Bei unseren Audits stellen wir regelmäßig fest, dass die Vorgaben kaum bis gar nicht umgesetzt sind. Aber auch, dass die Notwendigkeit dieser Maßnahme in vielen Unternehmen nicht erkannt wird.

Was genau ist das Ziel der Eingabekontrolle?

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Anlage (zu § 9 Satz 1) BDSG

Dem Wortlaut der Regelung ist zu entnehmen, dass es sich um eine nachgelagerte Kontrolle handelt. Ziel ist demnach nicht, einen Zugriff zu verhindern, sondern im Nachgang kontrollieren zu können, ob der Zugriff rechtmäßig war. Protokolliert werden müssen alle Eingaben, Veränderungen oder Löschungen von Daten, die einen Personenbezug aufweisen.

Es muss eindeutig nachgewiesen werden können, welche Person die Verarbeitung durchgeführt hat. Eine Eingrenzung auf eine Gruppe ist nicht ausreichend. Aus dieser Vorgabe ergibt sich indirekt, dass Mitarbeiter jeweils einen eigenen, personalisierten Zugang zum IT-System erhalten sollten. Ist dies nicht gegeben, so ist mit weiteren organisatorischen Regelungen zu gewährleisten, dass eine Person eindeutig identifiziert werden kann. Dies kann beispielswiese mit manuellen Protokollen geschehen. Allerdings ist der Aufwand oftmals so hoch, dass besser personalisierte Benutzeraccounts eingerichtet werden sollten.

Auch muss das "Entfernen" von personenbezogenen Daten dokumentiert werden. Dabei ist das Wort "entfernen" im BDSG nicht definiert. Es kann aber wohl mit dem Löschen von Daten gleichgesetzt werden. Wichtig in diesem Zusammenhang ist allerdings, dass zwar der Löschvorgang selbst protokolliert werden muss, nicht aber, was gelöscht wurde. Ansonsten würden erneut personenbezogen Daten im Protokoll auftauchen, die aber eigentlich nicht mehr vorhanden sein dürften.

Weiterhin muss eine Auswertung der Protokolle möglich sein. Das heißt, dass irgendjemand die Protokolle, zumindest theoretisch, auswerten kann. Demnach ist festzulegen, wie eine Auswertung erfolgen soll und wer auf die Daten zugreifen darf. Viele Systeme verfügen über automatisierte Auswertungsmöglichkeiten. Ganz aktuelle Anwendungen bieten sogar eine automatische Plausibilitätskontrolle.

Auf den ersten Blick erscheint diese Regelung nachvollziehbar. Auf den zweiten Blick erkennt man allerdings, dass der Gesetzgeber wichtige Details "vergessen" hat. Der Gesetzgeber spart einen wichtigen Verarbeitungsschritt aus, nämlich das Abrufen und somit den Zugriff auf die Daten. Das Abrufen der Daten ist für die weiteren Schritte, zumindest für das Verändern oder Löschen, notwendig. Je nach Sensibilität der Daten ist eine Protokollierung der Zugriffe dringend anzuraten. So sollte eine Zugriffsprotokollierung z.B. bei allen Krankenhaus- oder Praxisinformationssystemen zum Standard gehören.

Weiterhin schreibt der Gesetzestext nicht vor, dass der Zeitpunkt der Eingabe zu dokumentieren ist. Gefordert ist lediglich nachzuweisen, wer welche Daten verarbeitet hat. Aus den technischen Rahmenbedingungen und dem Schutzzweck der Maßnahme ergibt sich abgeleitet, dass eine Protokollierung ohne Zeitpunkt wenig sinnvoll ist. Eine Nachvollziehbarkeit, geschweige denn eine Prüfbarkeit der Protokolle, ist ohne Zeitstempel nicht gegeben.

Viele Unternehmen scheuen den technischen Aufwand einer konformen Protokollierung. Je nach Anzahl der Mitarbeiter und Art der Datenverarbeitung können die Protokolldateien schnell einen stattlichen Umfang erreichen. Zusätzlich müssen Regelungen geschaffen werden, wie lange diese Protokolldateien aufbewahrt werden sollen. Auch die Zugriffskontrolle für Protokolle muss geregelt werden. Es soll schließlich nicht jeder Mitarbeiter ohne Einschränkung auf die Protokolle Zugriff haben.

So entstehen technische wie auch organisatorische Aufwände, die einzuplanen sind. Aber warum ist die Eingabekontrolle auch aus Sicht der Unternehmen wichtig und sinnvoll?

Ganz einfach: aus Eigenschutz! Mit einer wirksamen Eingabekontrolle hat ein Unternehmen nicht nur die Möglichkeit Missbrauch aufzudecken, sondern auch Mitarbeiter in die Verantwortung zu nehmen. Anhand von zwei einfachen Beispielen soll abschließend die Notwendigkeit der Eingabekontrolle dargestellt werden.

Stellen Sie sich eine Arztpraxis oder ein Krankenhaus vor. In beiden Einrichtungen werden sehr viele Daten erhoben und erfasst. Nehmen wir nun an, dass sich die Mitarbeiter mit sogenannten Gruppenzugängen an den Systemen anmelden. Es ist also nicht eine einzelne Person identifizierbar, sondern lediglich eine Gruppe, wie z.B. die Sprechstundenhilfen oder Pflegekräfte insgesamt. Werden nun falsche Daten eingegeben, so ist es nicht möglich, eine verantwortliche Person zu identifizieren. Gerade bei der Eingabe von Medikationen ist schnell erkennbar, welche Gefahren entstehen.

Ein weiteres Beispiel haben wir bei unseren Audits leider mehr als einmal angetroffen. Gehen wir mal davon aus, dass die Protokollierung der Verarbeitung in der Buchhaltungssoftware nicht aktiviert wurde. Sei es auf Grund der Datenmenge oder aus Unwissenheit. Wenn nun falsche Daten eingegeben werden, so hat dies sicherlich nicht die gleichen Auswirkungen wie in einer medizinischen Einrichtung. Aber sobald wir z.B. an den Zahlungsverkehr denken, so wird klar, wie hoch die Missbrauchsmöglichkeiten sind. Wenn Zahlungen eingestellt und freigegeben werden, so sollte das Unternehmen aus Eigeninteresse diese Verarbeitung lückenlos nachvollziehen können. Im Fall eines Missbrauchs verliert das Unternehmen ansonsten fast alle Handlungsoptionen. Angefangen vom Schadensersatz bis hin zu arbeitsrechtlichen Konsequenzen.
   
   
   
Eingestellt von*:   Ingo Wolff
Zugeordnet: Kategorie
 
 
 
Dateien & Anhänge zu diesem Beitrag:
     
   
   
   
  * Die Betreiberin übernimmt keine Haftung über Richtigkeit oder Fachlichkeit der eingestellten Inhalte. Der Autor/Ersteller des Artikels haftet für alle Beiträge eigenverantwortlich. Sollten mit dem o.g. Text die Rechte Dritter verletzt, oder inhaltlich anstössig sein, wenden Sie sich bitte an den Autor, ggf. direkt an die Betreiberin. Es gelten die AGBs und der Haftungsausschluss der Betreiberin.
 
WILLKOMMEN
Trainer, Berater, Coaches & Anbieter
Startseite / Aktuelle Angebote
Angebote Kosten & Leistungen
Jetzt als Trainer anmelden
kostenlos suchen & ausschreiben




SUCHEN & FINDEN
Erweiterte Trainer-/Umkreissuche



PROFIL GEZEIGT
 alle zeigen
 
Roland Mons PREMIUM MEMBER 
Mannheim
Datenschutzbeauftragter TÜV, Datenschutzauditor TÜV, Auditor ISO-27001 (1st und 2nd Party), Cyber-Security-Beratung gemäß VdS 3473
 
Gabriele Dworschak PREMIUM MEMBER 
Gauting
Coaching, Vertriebstraining, Organisationsentwicklung, Projektmanagement, Interims Management
 
Yvon Kavungu PREMIUM MEMBER 
Berlin
Y. Kavungu-Dozent im Bereich: CreO SolidWorks AutoCAD Architecture Autodesk Inventor MicroStation V8i CATIA V5 Revit Allplan
 
Sylvia Etzrodt PREMIUM MEMBER 
Tamm
Mitarbeiter - Kunde - Kommunikation. Dafür engagieren wir uns. Unsere Kernkompetenz sind kundenorientierte Trainings mit Wirkung.
 
Oliver Watzal PREMIUM MEMBER 
München
Lehrtrainer & Lehrtherapeut: systemische Ausbildung in Coaching, Beratung & Familientherapie für Studenten, Berufseinsteiger und Berufstätige München
 
Chris Schäfer PREMIUM MEMBER 
München
Dr. Schäfer&Partner bietet weltweit Beratung, Training & Coaching (d+e) mit den Schwerpunkten Strategie, Führung, Persönlichkeit, Kommunikation
 
Wolfgang Riegger PREMIUM MEMBER 
Ludwigsburg
Medien & IT
 


WEITERE LINKS



NEWS+++NEWS+++NEWS
alle zeigen
Neue Termine: Ausbildung Resilienzberatung (Start Oktober 2018)
Weiterbildung für Coaches, BeraterInnen und TrainerInnen zur Schärfung ihres Profils für die passgenaue Entwicklung von Maßnahmen zur Resilienzentwicklung von Einzelnen, Teams und Organisationen.
Goldene Herbst-Seminar-Angebote zu Skills und Medien bei edulab
Unter dem Motto „Die Blätter fallen – die Preise auch: Goldene Herbst-Seminar-Angebote“ bietet das 2003 gegründete Unternehmen aktuell besonders attraktive Preise zu hochwertige Seminaren an aussgewählten Seminar-Terminen
Rhetorik Seminar - mit M. Pöhm persönlich 17-18 November 17 Stuttgart
Nur noch wenige Plätze frei im Rhetorik Seminar in Stuttgart und Zürich mit M. Pöhm persönlich
Wer bin ich wirklich – die Frage nach unserer Identität
Wir sind trotz Erfolg unglücklich. Im spirituellen Seminar von M. Pöhm erfahren Sie den Weg in eine Ausgeglichenheit, die keine äusseren Krücken mehr braucht.


PARTNER
alle zeigen
Jobbörse Gigajob Erlangen
 
Gigajob - einfach mehr erreichen
   


 
Eine der größten deutschen
Job- & Informationsbörsen

- kostenlos Jobs ausschreiben
- freier Zugang zur Datenbank für spezielle Suchen
- umfangreicher Leistungskatalog zum stöbern
- professionelle persönliche Unterstützung & Beratung
- mit kostenlosem Kurzprofil Mehrwerte nutzen
- seriös & professionell seit 2002
Informations-Marketing
für Trainer & Dozenten

- Mit eigenem Profil präsent sein
- mit Fachartikeln sich abgrenzen
- mit aktuellen News am Ball bleiben
- durch Seminare eigene Leistungen bewerben
- durch Mitgliedschaften in Verbänden Qualität sichern
- durch Links & Downloads weitergehend informieren
alles über die
Dozenten Börse


- Unser Angebot
- Als Trainer jetzt anmelden
- kostenlos Job ausschreiben
- Impressum
- Kontakt & Support
- Unsere AGBs