TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN |  KONTAKT & HILFE |  IMPRESSUM |  AGBs |  REGISTRIEREN |  MIT SSL
dozenten-boerse.de
das original.einfach.besser
TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN
Jetzt auf der dozenten-boerse.de registrieren !
Mitglieder
         hier sind Sie richtig
Benutzername
Passwort
 

kostenfrei anmeldenals Trainer anmelden & dabei sein?
kostenfrei anmeldenkostenlos suchen & ausschreiben?kostenfrei anmeldenZugangsdaten vergessen ?
   QuickNav: Trainer & Dozenten  |   Gesuche  |   Termine |   Seminare |   Fachartikel |   News |   Verbände |   Partner |  Registrieren
Und keiner will es gewesen sein. 02.09.2014
  Dieser Fachartikel thematisiert die Umsetzung der Eingabekontrolle in Unternehmen. Neben der Definition und den Bestandteilen wird auch die Relevanz der Umsetzung dieser Maßnahme in Unternehmen erörtert.
  Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. der Anlage zu § 9 BDSG sind hinreichend bekannt. Mit insgesamt acht Maßnahmen hat der Gesetzgeber versucht, eine Art Mindeststandard für den Schutz von personenbezogenen Daten zu schaffen. Die Liste ist nicht als Empfehlung zu sehen, sondern verpflichtender Bestandteil der gesetzlichen Regelungen. Dabei sind immer alle Maßnahmen umzusetzen.

Folgende Maßnahmen sind im Anhang zu § 9 BDSG zu finden:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

Die meisten dieser Maßnahmen werden im Tagesgeschäft der Unternehmen mehr oder weniger automatisch umgesetzt. So werden wohl alle Unternehmen versuchen, den Zugang zu oder den Zugriff auf schützenswerte Daten einzuschränken oder zu verhindern.

Die Eingabekontrolle fristet allerdings oft eine Art Schattendasein. Bei unseren Audits stellen wir regelmäßig fest, dass die Vorgaben kaum bis gar nicht umgesetzt sind. Aber auch, dass die Notwendigkeit dieser Maßnahme in vielen Unternehmen nicht erkannt wird.

Was genau ist das Ziel der Eingabekontrolle?

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Anlage (zu § 9 Satz 1) BDSG

Dem Wortlaut der Regelung ist zu entnehmen, dass es sich um eine nachgelagerte Kontrolle handelt. Ziel ist demnach nicht, einen Zugriff zu verhindern, sondern im Nachgang kontrollieren zu können, ob der Zugriff rechtmäßig war. Protokolliert werden müssen alle Eingaben, Veränderungen oder Löschungen von Daten, die einen Personenbezug aufweisen.

Es muss eindeutig nachgewiesen werden können, welche Person die Verarbeitung durchgeführt hat. Eine Eingrenzung auf eine Gruppe ist nicht ausreichend. Aus dieser Vorgabe ergibt sich indirekt, dass Mitarbeiter jeweils einen eigenen, personalisierten Zugang zum IT-System erhalten sollten. Ist dies nicht gegeben, so ist mit weiteren organisatorischen Regelungen zu gewährleisten, dass eine Person eindeutig identifiziert werden kann. Dies kann beispielswiese mit manuellen Protokollen geschehen. Allerdings ist der Aufwand oftmals so hoch, dass besser personalisierte Benutzeraccounts eingerichtet werden sollten.

Auch muss das "Entfernen" von personenbezogenen Daten dokumentiert werden. Dabei ist das Wort "entfernen" im BDSG nicht definiert. Es kann aber wohl mit dem Löschen von Daten gleichgesetzt werden. Wichtig in diesem Zusammenhang ist allerdings, dass zwar der Löschvorgang selbst protokolliert werden muss, nicht aber, was gelöscht wurde. Ansonsten würden erneut personenbezogen Daten im Protokoll auftauchen, die aber eigentlich nicht mehr vorhanden sein dürften.

Weiterhin muss eine Auswertung der Protokolle möglich sein. Das heißt, dass irgendjemand die Protokolle, zumindest theoretisch, auswerten kann. Demnach ist festzulegen, wie eine Auswertung erfolgen soll und wer auf die Daten zugreifen darf. Viele Systeme verfügen über automatisierte Auswertungsmöglichkeiten. Ganz aktuelle Anwendungen bieten sogar eine automatische Plausibilitätskontrolle.

Auf den ersten Blick erscheint diese Regelung nachvollziehbar. Auf den zweiten Blick erkennt man allerdings, dass der Gesetzgeber wichtige Details "vergessen" hat. Der Gesetzgeber spart einen wichtigen Verarbeitungsschritt aus, nämlich das Abrufen und somit den Zugriff auf die Daten. Das Abrufen der Daten ist für die weiteren Schritte, zumindest für das Verändern oder Löschen, notwendig. Je nach Sensibilität der Daten ist eine Protokollierung der Zugriffe dringend anzuraten. So sollte eine Zugriffsprotokollierung z.B. bei allen Krankenhaus- oder Praxisinformationssystemen zum Standard gehören.

Weiterhin schreibt der Gesetzestext nicht vor, dass der Zeitpunkt der Eingabe zu dokumentieren ist. Gefordert ist lediglich nachzuweisen, wer welche Daten verarbeitet hat. Aus den technischen Rahmenbedingungen und dem Schutzzweck der Maßnahme ergibt sich abgeleitet, dass eine Protokollierung ohne Zeitpunkt wenig sinnvoll ist. Eine Nachvollziehbarkeit, geschweige denn eine Prüfbarkeit der Protokolle, ist ohne Zeitstempel nicht gegeben.

Viele Unternehmen scheuen den technischen Aufwand einer konformen Protokollierung. Je nach Anzahl der Mitarbeiter und Art der Datenverarbeitung können die Protokolldateien schnell einen stattlichen Umfang erreichen. Zusätzlich müssen Regelungen geschaffen werden, wie lange diese Protokolldateien aufbewahrt werden sollen. Auch die Zugriffskontrolle für Protokolle muss geregelt werden. Es soll schließlich nicht jeder Mitarbeiter ohne Einschränkung auf die Protokolle Zugriff haben.

So entstehen technische wie auch organisatorische Aufwände, die einzuplanen sind. Aber warum ist die Eingabekontrolle auch aus Sicht der Unternehmen wichtig und sinnvoll?

Ganz einfach: aus Eigenschutz! Mit einer wirksamen Eingabekontrolle hat ein Unternehmen nicht nur die Möglichkeit Missbrauch aufzudecken, sondern auch Mitarbeiter in die Verantwortung zu nehmen. Anhand von zwei einfachen Beispielen soll abschließend die Notwendigkeit der Eingabekontrolle dargestellt werden.

Stellen Sie sich eine Arztpraxis oder ein Krankenhaus vor. In beiden Einrichtungen werden sehr viele Daten erhoben und erfasst. Nehmen wir nun an, dass sich die Mitarbeiter mit sogenannten Gruppenzugängen an den Systemen anmelden. Es ist also nicht eine einzelne Person identifizierbar, sondern lediglich eine Gruppe, wie z.B. die Sprechstundenhilfen oder Pflegekräfte insgesamt. Werden nun falsche Daten eingegeben, so ist es nicht möglich, eine verantwortliche Person zu identifizieren. Gerade bei der Eingabe von Medikationen ist schnell erkennbar, welche Gefahren entstehen.

Ein weiteres Beispiel haben wir bei unseren Audits leider mehr als einmal angetroffen. Gehen wir mal davon aus, dass die Protokollierung der Verarbeitung in der Buchhaltungssoftware nicht aktiviert wurde. Sei es auf Grund der Datenmenge oder aus Unwissenheit. Wenn nun falsche Daten eingegeben werden, so hat dies sicherlich nicht die gleichen Auswirkungen wie in einer medizinischen Einrichtung. Aber sobald wir z.B. an den Zahlungsverkehr denken, so wird klar, wie hoch die Missbrauchsmöglichkeiten sind. Wenn Zahlungen eingestellt und freigegeben werden, so sollte das Unternehmen aus Eigeninteresse diese Verarbeitung lückenlos nachvollziehen können. Im Fall eines Missbrauchs verliert das Unternehmen ansonsten fast alle Handlungsoptionen. Angefangen vom Schadensersatz bis hin zu arbeitsrechtlichen Konsequenzen.
   
   
   
Eingestellt von*:   Ingo Wolff
Zugeordnet: Kategorie
 
 
 
Dateien & Anhänge zu diesem Beitrag:
     
   
   
   
  * Die Betreiberin übernimmt keine Haftung über Richtigkeit oder Fachlichkeit der eingestellten Inhalte. Der Autor/Ersteller des Artikels haftet für alle Beiträge eigenverantwortlich. Sollten mit dem o.g. Text die Rechte Dritter verletzt, oder inhaltlich anstössig sein, wenden Sie sich bitte an den Autor, ggf. direkt an die Betreiberin. Es gelten die AGBs und der Haftungsausschluss der Betreiberin.
 
WILLKOMMEN
Trainer, Berater, Coaches & Anbieter
Startseite / Aktuelle Angebote
Angebote Kosten & Leistungen
Jetzt als Trainer anmelden
kostenlos suchen & ausschreiben




SUCHEN & FINDEN
Erweiterte Trainer-/Umkreissuche



PROFIL GEZEIGT
 alle zeigen
 
Conrad von Fürstenberg PREMIUM MEMBER 
Köln
Beratung QM, AZAV, ISO 9001, ISO 29990, EFQM LQW, Vorbereitung von Zertifizierungen, Auditor, Schulungen QM, Prozessbegleitung
 
Jörn Schramm PREMIUM MEMBER 
Aulendorf
Excel und das ganze Office. Grundlagen bis VBA. Anspruchsvolle Schulungen + Workshops nach Ihren Vorgaben. Deutsch+Englisch. Am Menschen orientiert.
 
Katja Günther-Mohrmann PREMIUM MEMBER 
Heusenstamm
Verhaltens-/ Fachrtainerin Versicherung, Ausbildung: Versicherungskauffrau, Dipl.-Betriebswirtin, Ausbilderin IHK, Trainerin ADG/ BDVT, www.kgmjt.de
 
Andrea Baran PREMIUM MEMBER 
Rheinberg
Trainings und Beratung zu den Themen: Vertrieb / Führungskompetenzen / Personalentwicklung / Direktmarketing - in deutsch englisch und französisch!
 
Volker Castor PREMIUM MEMBER 
Koblenz
Bankfachwirt, Diplom-Betriebswirt (FH), freiberuflicher Dozent und Trainer seit 1994 sowie Fachautor (Begleitbücher, Skripte, Foliensätze) seit 1999
 
Regisseur Frank Asmus PREMIUM MEMBER 
Berlin-Zehlendorf
Frank Asmus ist Regisseur und Top Executive Coach für exzellente strategische Präsentationen Forschung und Lehre an der TU Berlin. Keynote Speaker
 
Gudrun Sauerbrey PREMIUM MEMBER 
Berlin
Beratung, Seminar zu Projektmanagement, MS Project 2010, Project Server 2010, MS Visio, MindManager, MS Office 2010. Workshops, Installation, Support
 


WEITERE LINKS



NEWS+++NEWS+++NEWS
alle zeigen
Rhetorik Seminar Stuttgart
4-mal jährlich veranstaltet M. Pöhm das legendäre Rhetorik Seminar in Stuttgart. Jetzt bald wieder.
Professionelles Bestandskundenmanagement
Kundenbindung nachhaltig sichern und Verkaufspotenziale zielorientiert ausschöpfen
Vorfrühlingsangebote bei edulab-Seminaren
Firmenseminar-Anbieter für Softskills und Medien bietet Tauwetterpreise als Vorfrühlingsboten
So können Sie Ihren Wortschatz ohne zusätzlichen Zeitaufwand erweitern
Sie haben eine Fertigkeit, ohne davon zu wissen.


PARTNER
alle zeigen
Personaler Online Oberhausen
 
Personaler Online richtet sich an alle, die im Personalbereich beschäftigt sind.
   


 
Eine der größten deutschen
Job- & Informationsbörsen

- kostenlos Jobs ausschreiben
- freier Zugang zur Datenbank für spezielle Suchen
- umfangreicher Leistungskatalog zum stöbern
- professionelle persönliche Unterstützung & Beratung
- mit kostenlosem Kurzprofil Mehrwerte nutzen
- seriös & professionell seit 2002
Informations-Marketing
für Trainer & Dozenten

- Mit eigenem Profil präsent sein
- mit Fachartikeln sich abgrenzen
- mit aktuellen News am Ball bleiben
- durch Seminare eigene Leistungen bewerben
- durch Mitgliedschaften in Verbänden Qualität sichern
- durch Links & Downloads weitergehend informieren
alles über die
Dozenten Börse


- Unser Angebot
- Als Trainer jetzt anmelden
- kostenlos Job ausschreiben
- Impressum
- Kontakt & Support
- Unsere AGBs