Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Datensicherheitsbeauftragter

Frage Sicherheit

Mitglied: Guck

Guck (Level 1) - Jetzt verbinden

12.10.2009, aktualisiert 16:22 Uhr, 13793 Aufrufe, 10 Kommentare, 1 Danke

Welche Aufgaben hat ein Datensicherheitsbeauftragter? Gibt es gesetzlich festgeschriebene Aufgaben/Pflichten? Hat jemand hier Erfahrungen damit?

Hallo zusammen,

Zum Problem:
Die Leitung meiner Einrichtung hat mich zum Datensicherheitsbeauftragten gemacht. Normalerweise nickt man so etwas als Arbeitnehmer ja nicht unbesehen ab (Theorie), denkt jedoch oft und gerne an die Sicherung des eigenen Arbeitsplatzes und tut es - "erst mal" - doch (Praxis). Soweit, so schlecht und mir so passiert.

Nach umfangreicher Suche im Netz habe ich dann jede Menge Juristisches und Bundesgesetze zum DatenSCHUTZbeauftragten gefunden (inklusive der guten zweiteiligen Anleitung hier), jedoch keine einheitlichen Bestimmungen für den DatenSICHERHEITSbeauftragten.

1. Gibt es überhaupt gesetzliche Vorgaben zu Rechten und Pflichten eines Datensicherheitsbeauftragten? Oder legt jede Firma selbst fest, was der Datensicherheitsbeauftragte tut?

2. Wenn es gesetzliche Vorgaben gibt, wo finde ich diese?

3. Kennt jemand im Netz Empfehlungen/Erfahrungsberichte von Datensicherheitsbeauftragten aus deren Praxis? (Was ist in eigener Firma durchzusetzen, Software/Hardware, übliche Probleme... die Liste läßt sich fortsetzen.)

Leider gibt es in meiner Einrichtung keine konkreten Tätigkeitsvorgaben außer "ist für die Datensicherheit verantwortlich", auch Datensicherheitsvorgaben muß/kann ich selbst aufstellen. Und: Ja, ich sehe in diesem Fall wie alle hier, daß da jemand zum Datensicherheitsbeauftragten gemacht wurde, um bei einer Prüfung/einem Sicherheitsfall jemanden zu haben, den man a) vorzeigen und b) verantwortlich machen kann.
Ich sehe allerdings die Notwendigkeit der Einrichtung eines Datensicherheitsbeauftragten durchaus als gegeben an und versuche nun, das Beste für die Einrichtung, die Mitarbeiter und mich daraus zu machen! Daß ich mir dabei meine Tätigkeiten/Verantwortlichkeiten selbst zusammensuchen muß und meine Chefs keine Ahnung von der ganzen Sache haben, ist nicht schön...aber gibt's hier jemanden der DAS nicht kennt??

Jetziges Tätigkeitsfeld:
Ich bin in unserer Einrichtung der IT-Admin und habe noch einen Kollegen, der sich um DB-Administration und Intranetportal-Programmierung und -betreuung kümmert. Useranzahl etwa 300, Clients ca. 150, 6 kleinere Server, 5 Außenstellen. Einige Client-Server-Anwendungen (Lohnbuchhaltung, Finanzbuchhaltung, Verwaltung). Mehrere SQL-DB, Intranet, Zeiterfassung. Als Betreuungseinrichtung erstellen und verarbeiten wir personenbezogene Daten.

Zeit für Extraeinarbeitung Tätigkeitsfeld Datensicherheitsbeauftragter:
eigentlich keine , Extrastunden gibt's auch nicht

Konkret ist mir das Fehlen offizieller Vorgaben aufgestoßen, als in der letzten Planunskonferenz ein Abteilungsleiter mein erstes kleines Konzept für die Einführung einer Devicemanagement-Software (Stichwort USB-Medien) mit den Worten zerrissen hat: "Wozu brauchen wir das? Macht nur Ärger und Probleme, wenn ich mal eben schnell einen USB-Stick irgendwo anstecken will. Und MIT dieser Software verhindern wir den Datenab- und zufluß durch berechtigte Personen in's Intranet auch nicht. Zu teuer, kaum Nutzen, nur Probleme."
Meine Geschäftsleitung ist der Auffassung, mit einer Dienstanweisung a la "Kein Mitarbeiter darf firmeneigene Daten mit nach Hause nehmen bzw. Privatmedien am Dienstrechner nutzen." sind sie rechtlich auf der sicheren Seite. Und ich habe - außer meinen fachliche Argumenten - keine Gesetzestexte oder offiziellen Vorgaben, die meinen Anspruch an Datensicherheit untermauern könnten.

Vielleicht kann mir ja jemand mit Tipps, Links oder Ähnlichem helfen hier.

Gruß, Guck
Mitglied: DrAlcome
12.10.2009 um 16:35 Uhr
Hallo!

Hast du dich mal erkundigt ob vielleicht in deiner Nähe Lehrgänge für den Posten angeboten werden? Bei sowas würde ich mich ja nicht nur auf Internetquellen verlassen, eine Schulung wäre schon wichtig.
Vielleicht kannst du ja auch mal bei euch in der Firma bei der Revision nachfragen, die müssten ein Paar Informationsquellen dazu haben.
Bitte warten ..
Mitglied: manuel-r
12.10.2009 um 16:36 Uhr
Geht ja gut los in deinem neuen zusätzlichen Tätigkeitsfeld. Da macht man jemanden großspurig zum Datensicherheitsbeauftragten und als erste Amtshandlung zerreisst man eine Maßnahme, die dieser für sinnvoll und wichtig hält
Über den (Daten-)Sicherheitsbeauftragen findet sich einiges im BSI-Grundschutzhandbuch. So wie ich das sehe ist das in aller Regel entweder jemand aus der IT oder der sonstige Sicherheitsbeauftragte macht den Part IT noch zusätzlich mit. Man denke an große Unternehmen, die eine Beauftragten für die innere und äußere Sicherheit, Brandschutz, Einbruchschutz usw. haben. Im Mittelstand macht das halt oft irgendwer von dem man annimmt, er kennt sich mit der Materie aus und bekleidet die Postition verantwortungvoll, mit.
Vielleicht solltest du eigentlich ja auch Datenschutzbeauftragter werden und dein Chef hat da einfach was verwechselt. Meinem passiert das (im Gespräch) auch immer mal wieder

Manuel
Bitte warten ..
Mitglied: Guck
12.10.2009 um 21:16 Uhr
Ja, ein Lehrgang bzw. eine Fortbildung für Datensicherheitsbeauftragte wäre natürlich Klasse - finde aber hier in der Gegend lediglich Sachen, die mit dem üblichen DSB (Datenschutzbeauftragten) zu tun haben. Habe mich deshalb ja bereits gefragt, ob es "den" Datensicherheitsbeauftragten offiziell überhaupt gibt - oder ob das nur eine individuelle Firmenentscheidung ist (die manchmal sogar auf der puren Unkenntniss der Sachlage und Verwechslung durch die Chefs mit dem Terminus Datenschutzbeauftragter beruht).

Solange ich nicht weiß, wofür GENAU ich denn verantwortlich gemacht werden kann, solange kann ich leider auch schlecht argumentieren, wenn mal wieder jemand "geht nicht, brauchen wir nicht" meint.
Bitte warten ..
Mitglied: Guck
12.10.2009 um 21:25 Uhr
BSI-Grundschutzhandbuch

Genau so etwas habe ich gesucht!!! Supertipp, danke.

Zum Thema Datenschutzbeauftragter und Verwechslung: siehe mein Kommentar oben .
Bitte warten ..
Mitglied: Sequoia
13.10.2009 um 09:47 Uhr
Es kommt sehr häufig vor, dass Datenschutz und Datensicherheit verwechselt wird. Das englische "privacy" für Datenschutz trifft den Terminus weitaus besser.
Das Bundesdatenschutzgesetz (BDSG) besagt, dass ein Datenschutzbeauftragter persönlich und fachlich geeignet sein muss. Wenn ihm die fachliche Kompetenz fehlt, kann er sich "Hilfspersonal" stellen lassen. Kann es sein, dass Du - weil Du ja sicherlich die fachliche Kompetenz besitzt - Eurem Datenschutzbeauftragten zu Seite stehen sollst?
Ich sitze in einem ähnlichen Boot. Administration & Datenschutz vertragen sich allerdings nicht immer. Aber Administration und Datensicherheit auf alle Fälle.

Zu Deiner eigentlichen Frage: Wie bereits erwähnt ist das BSI-Grundschutzhandbuch die "Bibel" was die Datensicherheit angeht. Das Thema Datensicherheit ist ebenfalls ein zentrales Thema bei diversen Datenschutz-Seminaren. Deshalb ist es auch ratsam, sich mit dem Thema Datenschutz auseinander zu setzen.

Viele Grüße!
Bitte warten ..
Mitglied: Guck
13.10.2009 um 12:48 Uhr
Das BSI-Grundschutzhandbuch ist in der Tat ein guter Tipp, lese mich gerade ein. Danke dafür.

Zum Thema DSB:
Habe mal etwas recherchiert hier in meiner Firma. Es gibt Datenschutzbeauftragte für jeden größeren Bereich - jedenfalls auf dem Papier. Schulungen wurden zuletzt in 2001 besucht, offensichtlich hat sich bereits seit Jahren niemand mehr um das Thema gekümmert. Möglicherweise wissen die Personen selbst nicht mehr, daß sie DSB sind, eine Person ist bereits ohne Nachfolger ausgeschieden...
Die fachliche IT-Kompetenz der DSB reicht von "PC-Neuling" bis etwa zu "Simpler Office-Anwender". Irgendeine Tätigkeit der DSB erfolgte in den letzten 6 Jahren mE nicht . Also auch keine Zusammenarbeit mit mir bisher.
Da ich ja zudem lediglich durch Befragung von Kollegen die DSB herausgefunden habe, kann von einem "zur Seite stellen" durch unsere Geschäftsleitung auch kaum die Rede sein.
Ist das der Standardzustand in der Praxis oder geht es bei uns besonders stark drunter und drüber?

Verwechselt wurde in meinem Fall Datenschutz und Datensicherheit warscheinlich nicht. Leider hat die GL nur sehr vage Vorstellungen, was mein zusätzliches Aufgabenfeld Datensicherheit konkret bedeutet (sind technische Laien), es kommen da solche Aussagen wie "unsere Daten sollen sicher sein" und "dürfen nicht verlorengehen". Leider finde ich bei meinen Bemühungen, WIE das zu bewerkstelligen ist, kaum echte Unterstützung, die meisten Vorschläge werden als "überzogen" oder "zu teuer" abgeschmettert. Darum bin ich gerade auf der Suche nach irgendwelchen gesetzlichen Vorgaben, die eine Einrichtung (Personenpflege und -förderung) hinsichtlich Datensicherheitstechnik einhalten MUSS.

Und als Nächstes kümmere ich mich mal um den Besuch eines Datenschutz-Seminars...

Danke und Gruß
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 13:02 Uhr
Es sieht so aus, als sollst du eine reine Alibifunktion haben und nur dafür da sein, damit man im Fall der Fälle mit dem Finger auf dich zeigen kann.
Wenn sich diese Vermutung erhärtet würde ich an deiner Stelle alle Vorschläge, die zur Erhaltung bzw. Steigerung der Datensicherheit beitragen schriftlich einreichen und ebenso schriftlich (so wird es kommen) ablehnen lassen.
Sollte sich darauf keiner aus der GL einlassen (und davon gehe ich aus, weil sie den Braten riechen werden) bestätigst du einfach jede mündliche Ablehnung per eMail an die GL und weißt nochmal auf die evtl. dadurch resultierenden Konsequenzen hin. Damit solltest du dann schneidig zurück zeigen können, wenn urplötzlich ein nackter Finger auf dich zeigt.
Deine Konzeptvorschläge solltest du ausführlich mit Begründung, Kosten und den zu erwartenden Nachteilen bzw. Risiken im Falle der Nicht-Umsetzung einreichen.

Manuel
Bitte warten ..
Mitglied: Guck
13.10.2009 um 13:46 Uhr
Genauso sehe ich das auch. Gebe Dir vollkommen recht.

Also jede Menge sinnloser Zusatzarbeit - ich habe ja sonst nix zu tun.
Bitte warten ..
Mitglied: manuel-r
13.10.2009 um 13:53 Uhr
Frag doch mal die vorhandenen DSB, warum sie ihren Auftrag nicht mehr so wirklich ernst nehmen. Ich würde vermuten, denen erging es ähnlich. Eine Weile voller Enthusiasmus dabei und immer wieder abgebügelt. Irgendwann haben die bestimmt aufgegeben.
Dann reift halt früher oder später die Erkenntnis Melden macht frei und belastet Vorgesetzte Nicht schön, aber in dem Fall zweckmäßig und zum Selbstschutz unerlässlich...
Bitte warten ..
Mitglied: gjhammes
15.03.2011 um 14:03 Uhr
Hallo Guck, da mir in Kürze ähnliches als aushäusiger Datensicherheitsbeauftragter in einer kleinen Firma mit 20 Monitoren, die jeweils von mehreren Usern benutzt werden, bevorsteht, suchte ich mit diesem Suchwort im Web und stieß auf deinen Aufsatz aus 2009 und frage wie ist der Stand der Dinge today?
Meine Aufgabe wäre es hauptsächlich von zu Hause aus den Einsatz der Arbeitsplätze zu beobachten, soll die Grundbedingungen für den Umgang mit dem Internet in der Firma einführen, da die alle noch so ziemlich unbeleckt sind, und deren Netzwerkadministrator damit ausgelastet ist, die Monitore und Drucker im Netzwerk zu verwalten und am Laufen zu halten.
Würde mich sehr interessieren, wie du unterdessen diesen Job ausführst und verwaltest und dein jetziger Stand in der Firma.
Wäre dir verbunden, wenn dur mir direkt antworten würdest.
Meinen Dank im voraus.
Lieber Gruß, Günter-Julius Hammes
gjh@nord-west-service.de
Bitte warten ..
Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 1 StundeWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 9 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 9 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server22 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Windows Server
Logging von "gesendeten Nachrichten" auf Terminalservern
gelöst Frage von Z3R0C0MM4N0THiN6Windows Server10 Kommentare

Hallo zusammen, kann mir jemand auf kurzem Wege sagen ob 1) die per Task-Manager (oder damals tsadmin) an Benutzer ...