TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN |  KONTAKT & HILFE |  IMPRESSUM |  AGBs |  REGISTRIEREN |  MIT SSL
dozenten-boerse.de
das original.einfach.besser
TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN
Jetzt auf der dozenten-boerse.de registrieren !
Mitglieder
         hier sind Sie richtig
Benutzername
Passwort
 

kostenfrei anmeldenals Trainer anmelden & dabei sein?
kostenfrei anmeldenkostenlos suchen & ausschreiben?kostenfrei anmeldenZugangsdaten vergessen ?
   QuickNav: Trainer & Dozenten  |   Gesuche  |   Termine |   Seminare |   Fachartikel |   News |   Verbände |   Partner |  Registrieren
Und keiner will es gewesen sein. 02.09.2014
  Dieser Fachartikel thematisiert die Umsetzung der Eingabekontrolle in Unternehmen. Neben der Definition und den Bestandteilen wird auch die Relevanz der Umsetzung dieser Maßnahme in Unternehmen erörtert.
  Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. der Anlage zu § 9 BDSG sind hinreichend bekannt. Mit insgesamt acht Maßnahmen hat der Gesetzgeber versucht, eine Art Mindeststandard für den Schutz von personenbezogenen Daten zu schaffen. Die Liste ist nicht als Empfehlung zu sehen, sondern verpflichtender Bestandteil der gesetzlichen Regelungen. Dabei sind immer alle Maßnahmen umzusetzen.

Folgende Maßnahmen sind im Anhang zu § 9 BDSG zu finden:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

Die meisten dieser Maßnahmen werden im Tagesgeschäft der Unternehmen mehr oder weniger automatisch umgesetzt. So werden wohl alle Unternehmen versuchen, den Zugang zu oder den Zugriff auf schützenswerte Daten einzuschränken oder zu verhindern.

Die Eingabekontrolle fristet allerdings oft eine Art Schattendasein. Bei unseren Audits stellen wir regelmäßig fest, dass die Vorgaben kaum bis gar nicht umgesetzt sind. Aber auch, dass die Notwendigkeit dieser Maßnahme in vielen Unternehmen nicht erkannt wird.

Was genau ist das Ziel der Eingabekontrolle?

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Anlage (zu § 9 Satz 1) BDSG

Dem Wortlaut der Regelung ist zu entnehmen, dass es sich um eine nachgelagerte Kontrolle handelt. Ziel ist demnach nicht, einen Zugriff zu verhindern, sondern im Nachgang kontrollieren zu können, ob der Zugriff rechtmäßig war. Protokolliert werden müssen alle Eingaben, Veränderungen oder Löschungen von Daten, die einen Personenbezug aufweisen.

Es muss eindeutig nachgewiesen werden können, welche Person die Verarbeitung durchgeführt hat. Eine Eingrenzung auf eine Gruppe ist nicht ausreichend. Aus dieser Vorgabe ergibt sich indirekt, dass Mitarbeiter jeweils einen eigenen, personalisierten Zugang zum IT-System erhalten sollten. Ist dies nicht gegeben, so ist mit weiteren organisatorischen Regelungen zu gewährleisten, dass eine Person eindeutig identifiziert werden kann. Dies kann beispielswiese mit manuellen Protokollen geschehen. Allerdings ist der Aufwand oftmals so hoch, dass besser personalisierte Benutzeraccounts eingerichtet werden sollten.

Auch muss das "Entfernen" von personenbezogenen Daten dokumentiert werden. Dabei ist das Wort "entfernen" im BDSG nicht definiert. Es kann aber wohl mit dem Löschen von Daten gleichgesetzt werden. Wichtig in diesem Zusammenhang ist allerdings, dass zwar der Löschvorgang selbst protokolliert werden muss, nicht aber, was gelöscht wurde. Ansonsten würden erneut personenbezogen Daten im Protokoll auftauchen, die aber eigentlich nicht mehr vorhanden sein dürften.

Weiterhin muss eine Auswertung der Protokolle möglich sein. Das heißt, dass irgendjemand die Protokolle, zumindest theoretisch, auswerten kann. Demnach ist festzulegen, wie eine Auswertung erfolgen soll und wer auf die Daten zugreifen darf. Viele Systeme verfügen über automatisierte Auswertungsmöglichkeiten. Ganz aktuelle Anwendungen bieten sogar eine automatische Plausibilitätskontrolle.

Auf den ersten Blick erscheint diese Regelung nachvollziehbar. Auf den zweiten Blick erkennt man allerdings, dass der Gesetzgeber wichtige Details "vergessen" hat. Der Gesetzgeber spart einen wichtigen Verarbeitungsschritt aus, nämlich das Abrufen und somit den Zugriff auf die Daten. Das Abrufen der Daten ist für die weiteren Schritte, zumindest für das Verändern oder Löschen, notwendig. Je nach Sensibilität der Daten ist eine Protokollierung der Zugriffe dringend anzuraten. So sollte eine Zugriffsprotokollierung z.B. bei allen Krankenhaus- oder Praxisinformationssystemen zum Standard gehören.

Weiterhin schreibt der Gesetzestext nicht vor, dass der Zeitpunkt der Eingabe zu dokumentieren ist. Gefordert ist lediglich nachzuweisen, wer welche Daten verarbeitet hat. Aus den technischen Rahmenbedingungen und dem Schutzzweck der Maßnahme ergibt sich abgeleitet, dass eine Protokollierung ohne Zeitpunkt wenig sinnvoll ist. Eine Nachvollziehbarkeit, geschweige denn eine Prüfbarkeit der Protokolle, ist ohne Zeitstempel nicht gegeben.

Viele Unternehmen scheuen den technischen Aufwand einer konformen Protokollierung. Je nach Anzahl der Mitarbeiter und Art der Datenverarbeitung können die Protokolldateien schnell einen stattlichen Umfang erreichen. Zusätzlich müssen Regelungen geschaffen werden, wie lange diese Protokolldateien aufbewahrt werden sollen. Auch die Zugriffskontrolle für Protokolle muss geregelt werden. Es soll schließlich nicht jeder Mitarbeiter ohne Einschränkung auf die Protokolle Zugriff haben.

So entstehen technische wie auch organisatorische Aufwände, die einzuplanen sind. Aber warum ist die Eingabekontrolle auch aus Sicht der Unternehmen wichtig und sinnvoll?

Ganz einfach: aus Eigenschutz! Mit einer wirksamen Eingabekontrolle hat ein Unternehmen nicht nur die Möglichkeit Missbrauch aufzudecken, sondern auch Mitarbeiter in die Verantwortung zu nehmen. Anhand von zwei einfachen Beispielen soll abschließend die Notwendigkeit der Eingabekontrolle dargestellt werden.

Stellen Sie sich eine Arztpraxis oder ein Krankenhaus vor. In beiden Einrichtungen werden sehr viele Daten erhoben und erfasst. Nehmen wir nun an, dass sich die Mitarbeiter mit sogenannten Gruppenzugängen an den Systemen anmelden. Es ist also nicht eine einzelne Person identifizierbar, sondern lediglich eine Gruppe, wie z.B. die Sprechstundenhilfen oder Pflegekräfte insgesamt. Werden nun falsche Daten eingegeben, so ist es nicht möglich, eine verantwortliche Person zu identifizieren. Gerade bei der Eingabe von Medikationen ist schnell erkennbar, welche Gefahren entstehen.

Ein weiteres Beispiel haben wir bei unseren Audits leider mehr als einmal angetroffen. Gehen wir mal davon aus, dass die Protokollierung der Verarbeitung in der Buchhaltungssoftware nicht aktiviert wurde. Sei es auf Grund der Datenmenge oder aus Unwissenheit. Wenn nun falsche Daten eingegeben werden, so hat dies sicherlich nicht die gleichen Auswirkungen wie in einer medizinischen Einrichtung. Aber sobald wir z.B. an den Zahlungsverkehr denken, so wird klar, wie hoch die Missbrauchsmöglichkeiten sind. Wenn Zahlungen eingestellt und freigegeben werden, so sollte das Unternehmen aus Eigeninteresse diese Verarbeitung lückenlos nachvollziehen können. Im Fall eines Missbrauchs verliert das Unternehmen ansonsten fast alle Handlungsoptionen. Angefangen vom Schadensersatz bis hin zu arbeitsrechtlichen Konsequenzen.
   
   
   
Eingestellt von*:   Ingo Wolff
Zugeordnet: Kategorie
 
 
 
Dateien & Anhänge zu diesem Beitrag:
     
   
   
   
  * Die Betreiberin übernimmt keine Haftung über Richtigkeit oder Fachlichkeit der eingestellten Inhalte. Der Autor/Ersteller des Artikels haftet für alle Beiträge eigenverantwortlich. Sollten mit dem o.g. Text die Rechte Dritter verletzt, oder inhaltlich anstössig sein, wenden Sie sich bitte an den Autor, ggf. direkt an die Betreiberin. Es gelten die AGBs und der Haftungsausschluss der Betreiberin.
 
WILLKOMMEN
Trainer, Berater, Coaches & Anbieter
Startseite / Aktuelle Angebote
Angebote Kosten & Leistungen
Jetzt als Trainer anmelden
kostenlos suchen & ausschreiben




SUCHEN & FINDEN
Erweiterte Trainer-/Umkreissuche



PROFIL GEZEIGT
 alle zeigen
 
Inken Risse PREMIUM MEMBER 
Hamburg
Entscheidungs- und handlungsfähig sein ist das A&O der Führung. Nutzen Sie unsere Kompetenz und machen Sie sich das Leben leichter.
 
Sabine Lederle PREMIUM MEMBER 
Augsburg
Geschäftsführung ICO, Lehrtrainerin und Co-Leitung der Ausbildung "Systemische Beratung und Coaching", Trainerin, Gutachterin für den dvct.
 
Nicola Fritze PREMIUM MEMBER 
München
Top-Trainerin und Expertin für wirkungsvolle Kommunikation
 
Gabriele Aschenbrenner PREMIUM MEMBER 
München
Sie suchen den Office-Profi, Sie haben "sie" gefunden! 25 Jahre Erfahrung, IT-Seminare/Migration Deutsch, Englisch u.Französisch, Coaching,Sharepoint
 
Thorsten Strauch PREMIUM MEMBER 
Wuppertal
EDV-Trainer Microsoft Project, Microsoft Office (Word, Excel, PowerPoint, Outlook und Access)- 11 Notebooks für den Verleih vorhanden
 
Eike Rappmund PREMIUM MEMBER 
Weinheim
Selbst in Führung - erfüllt im Leben!
 
Jan Krueger PREMIUM MEMBER 
Kirchbarkau
Projektberatung, Coaching, Systemische ORganisationsaufstellung Trainings, Ausbildungen
 


WEITERE LINKS



NEWS+++NEWS+++NEWS
alle zeigen
Besser telefonieren - für Handwerk, Einzelhandel, Dienstleister, Dienststellen (Neuerscheinung)
Im geschäftlichen Miteinander ist das Telefon immer noch einer der wichtigsten Kommunikationskanäle. In dem Buch stecken meine jahrzehntelangen beruflichen Erfahrungen mit telefonischen Services.
Buchneuerscheinung: "Service besser kommunizieren"
Serviceanbieter müssen sich heute nicht nur aufmerksamkeitswirksam am Markt zeigen, sondern auch wissen, wie sie Kunden erreichen und mit ihnen in Verbindung treten können.
Rhetorik Seminar München
Fünf mal pro Jahr veranstalten M. Pöhm das legendäre Rhetorik Seminar in München. Jetzt bald wieder…
Mario Mantese – Neue Hintergründe über einen angeblich Erleuchteten
Mario Mantese ist ein spiritueller Lehrer, der von sich behauptet seit einem Koma erleuchtet zu sein. Irgendetwas in seiner Biografie stimmt aber nicht


PARTNER
alle zeigen
Jünger Verlagsgruppe Offenbach
 
Mitglieder erhalten bei uns einen Einkaufsrabatt von 15 Prozent
   


 
Eine der größten deutschen
Job- & Informationsbörsen

- kostenlos Jobs ausschreiben
- freier Zugang zur Datenbank für spezielle Suchen
- umfangreicher Leistungskatalog zum stöbern
- professionelle persönliche Unterstützung & Beratung
- mit kostenlosem Kurzprofil Mehrwerte nutzen
- seriös & professionell seit 2002
Informations-Marketing
für Trainer & Dozenten

- Mit eigenem Profil präsent sein
- mit Fachartikeln sich abgrenzen
- mit aktuellen News am Ball bleiben
- durch Seminare eigene Leistungen bewerben
- durch Mitgliedschaften in Verbänden Qualität sichern
- durch Links & Downloads weitergehend informieren
alles über die
Dozenten Börse


- Unser Angebot
- Als Trainer jetzt anmelden
- kostenlos Job ausschreiben
- Impressum
- Kontakt & Support
- Unsere AGBs