TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN |  KONTAKT & HILFE |  IMPRESSUM |  AGBs |  REGISTRIEREN |  MIT SSL
dozenten-boerse.de
das original.einfach.besser
TRAINER - BERATER - DOZENTEN - COACHES :: DOZENTEN-BOERSE.DE EINE DER GRößTEN TRAINER & BERATER PLATTFORMEN SEIT 2002 - HERZLICH WILLKOMMEN
Jetzt auf der dozenten-boerse.de registrieren !
Mitglieder
         hier sind Sie richtig
Benutzername
Passwort
 

kostenfrei anmeldenals Trainer anmelden & dabei sein?
kostenfrei anmeldenkostenlos suchen & ausschreiben?kostenfrei anmeldenZugangsdaten vergessen ?
   QuickNav: Trainer & Dozenten  |   Gesuche  |   Termine |   Seminare |   Fachartikel |   News |   Verbände |   Partner |  Registrieren
Und keiner will es gewesen sein. 02.09.2014
  Dieser Fachartikel thematisiert die Umsetzung der Eingabekontrolle in Unternehmen. Neben der Definition und den Bestandteilen wird auch die Relevanz der Umsetzung dieser Maßnahme in Unternehmen erörtert.
  Die technischen und organisatorischen Maßnahmen nach § 9 BDSG bzw. der Anlage zu § 9 BDSG sind hinreichend bekannt. Mit insgesamt acht Maßnahmen hat der Gesetzgeber versucht, eine Art Mindeststandard für den Schutz von personenbezogenen Daten zu schaffen. Die Liste ist nicht als Empfehlung zu sehen, sondern verpflichtender Bestandteil der gesetzlichen Regelungen. Dabei sind immer alle Maßnahmen umzusetzen.

Folgende Maßnahmen sind im Anhang zu § 9 BDSG zu finden:

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

Die meisten dieser Maßnahmen werden im Tagesgeschäft der Unternehmen mehr oder weniger automatisch umgesetzt. So werden wohl alle Unternehmen versuchen, den Zugang zu oder den Zugriff auf schützenswerte Daten einzuschränken oder zu verhindern.

Die Eingabekontrolle fristet allerdings oft eine Art Schattendasein. Bei unseren Audits stellen wir regelmäßig fest, dass die Vorgaben kaum bis gar nicht umgesetzt sind. Aber auch, dass die Notwendigkeit dieser Maßnahme in vielen Unternehmen nicht erkannt wird.

Was genau ist das Ziel der Eingabekontrolle?

Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Anlage (zu § 9 Satz 1) BDSG

Dem Wortlaut der Regelung ist zu entnehmen, dass es sich um eine nachgelagerte Kontrolle handelt. Ziel ist demnach nicht, einen Zugriff zu verhindern, sondern im Nachgang kontrollieren zu können, ob der Zugriff rechtmäßig war. Protokolliert werden müssen alle Eingaben, Veränderungen oder Löschungen von Daten, die einen Personenbezug aufweisen.

Es muss eindeutig nachgewiesen werden können, welche Person die Verarbeitung durchgeführt hat. Eine Eingrenzung auf eine Gruppe ist nicht ausreichend. Aus dieser Vorgabe ergibt sich indirekt, dass Mitarbeiter jeweils einen eigenen, personalisierten Zugang zum IT-System erhalten sollten. Ist dies nicht gegeben, so ist mit weiteren organisatorischen Regelungen zu gewährleisten, dass eine Person eindeutig identifiziert werden kann. Dies kann beispielswiese mit manuellen Protokollen geschehen. Allerdings ist der Aufwand oftmals so hoch, dass besser personalisierte Benutzeraccounts eingerichtet werden sollten.

Auch muss das "Entfernen" von personenbezogenen Daten dokumentiert werden. Dabei ist das Wort "entfernen" im BDSG nicht definiert. Es kann aber wohl mit dem Löschen von Daten gleichgesetzt werden. Wichtig in diesem Zusammenhang ist allerdings, dass zwar der Löschvorgang selbst protokolliert werden muss, nicht aber, was gelöscht wurde. Ansonsten würden erneut personenbezogen Daten im Protokoll auftauchen, die aber eigentlich nicht mehr vorhanden sein dürften.

Weiterhin muss eine Auswertung der Protokolle möglich sein. Das heißt, dass irgendjemand die Protokolle, zumindest theoretisch, auswerten kann. Demnach ist festzulegen, wie eine Auswertung erfolgen soll und wer auf die Daten zugreifen darf. Viele Systeme verfügen über automatisierte Auswertungsmöglichkeiten. Ganz aktuelle Anwendungen bieten sogar eine automatische Plausibilitätskontrolle.

Auf den ersten Blick erscheint diese Regelung nachvollziehbar. Auf den zweiten Blick erkennt man allerdings, dass der Gesetzgeber wichtige Details "vergessen" hat. Der Gesetzgeber spart einen wichtigen Verarbeitungsschritt aus, nämlich das Abrufen und somit den Zugriff auf die Daten. Das Abrufen der Daten ist für die weiteren Schritte, zumindest für das Verändern oder Löschen, notwendig. Je nach Sensibilität der Daten ist eine Protokollierung der Zugriffe dringend anzuraten. So sollte eine Zugriffsprotokollierung z.B. bei allen Krankenhaus- oder Praxisinformationssystemen zum Standard gehören.

Weiterhin schreibt der Gesetzestext nicht vor, dass der Zeitpunkt der Eingabe zu dokumentieren ist. Gefordert ist lediglich nachzuweisen, wer welche Daten verarbeitet hat. Aus den technischen Rahmenbedingungen und dem Schutzzweck der Maßnahme ergibt sich abgeleitet, dass eine Protokollierung ohne Zeitpunkt wenig sinnvoll ist. Eine Nachvollziehbarkeit, geschweige denn eine Prüfbarkeit der Protokolle, ist ohne Zeitstempel nicht gegeben.

Viele Unternehmen scheuen den technischen Aufwand einer konformen Protokollierung. Je nach Anzahl der Mitarbeiter und Art der Datenverarbeitung können die Protokolldateien schnell einen stattlichen Umfang erreichen. Zusätzlich müssen Regelungen geschaffen werden, wie lange diese Protokolldateien aufbewahrt werden sollen. Auch die Zugriffskontrolle für Protokolle muss geregelt werden. Es soll schließlich nicht jeder Mitarbeiter ohne Einschränkung auf die Protokolle Zugriff haben.

So entstehen technische wie auch organisatorische Aufwände, die einzuplanen sind. Aber warum ist die Eingabekontrolle auch aus Sicht der Unternehmen wichtig und sinnvoll?

Ganz einfach: aus Eigenschutz! Mit einer wirksamen Eingabekontrolle hat ein Unternehmen nicht nur die Möglichkeit Missbrauch aufzudecken, sondern auch Mitarbeiter in die Verantwortung zu nehmen. Anhand von zwei einfachen Beispielen soll abschließend die Notwendigkeit der Eingabekontrolle dargestellt werden.

Stellen Sie sich eine Arztpraxis oder ein Krankenhaus vor. In beiden Einrichtungen werden sehr viele Daten erhoben und erfasst. Nehmen wir nun an, dass sich die Mitarbeiter mit sogenannten Gruppenzugängen an den Systemen anmelden. Es ist also nicht eine einzelne Person identifizierbar, sondern lediglich eine Gruppe, wie z.B. die Sprechstundenhilfen oder Pflegekräfte insgesamt. Werden nun falsche Daten eingegeben, so ist es nicht möglich, eine verantwortliche Person zu identifizieren. Gerade bei der Eingabe von Medikationen ist schnell erkennbar, welche Gefahren entstehen.

Ein weiteres Beispiel haben wir bei unseren Audits leider mehr als einmal angetroffen. Gehen wir mal davon aus, dass die Protokollierung der Verarbeitung in der Buchhaltungssoftware nicht aktiviert wurde. Sei es auf Grund der Datenmenge oder aus Unwissenheit. Wenn nun falsche Daten eingegeben werden, so hat dies sicherlich nicht die gleichen Auswirkungen wie in einer medizinischen Einrichtung. Aber sobald wir z.B. an den Zahlungsverkehr denken, so wird klar, wie hoch die Missbrauchsmöglichkeiten sind. Wenn Zahlungen eingestellt und freigegeben werden, so sollte das Unternehmen aus Eigeninteresse diese Verarbeitung lückenlos nachvollziehen können. Im Fall eines Missbrauchs verliert das Unternehmen ansonsten fast alle Handlungsoptionen. Angefangen vom Schadensersatz bis hin zu arbeitsrechtlichen Konsequenzen.
   
   
   
Eingestellt von*:   Ingo Wolff
Zugeordnet: Kategorie
 
 
 
Dateien & Anhänge zu diesem Beitrag:
     
   
   
   
  * Die Betreiberin übernimmt keine Haftung über Richtigkeit oder Fachlichkeit der eingestellten Inhalte. Der Autor/Ersteller des Artikels haftet für alle Beiträge eigenverantwortlich. Sollten mit dem o.g. Text die Rechte Dritter verletzt, oder inhaltlich anstössig sein, wenden Sie sich bitte an den Autor, ggf. direkt an die Betreiberin. Es gelten die AGBs und der Haftungsausschluss der Betreiberin.
 
WILLKOMMEN
Trainer, Berater, Coaches & Anbieter
Startseite / Aktuelle Angebote
Angebote Kosten & Leistungen
Jetzt als Trainer anmelden
kostenlos suchen & ausschreiben




SUCHEN & FINDEN
Erweiterte Trainer-/Umkreissuche



PROFIL GEZEIGT
 alle zeigen
 
Christopher Meil PREMIUM MEMBER 
Köln
Ihr Trainer Experte für Onlinemarketing, Usability, Conversion Optimierung
 
Peter-Claudius Engel PREMIUM MEMBER 
München
Sprecher und Schauspieler, Experte für Stimme
 
Oliver Watzal PREMIUM MEMBER 
München
Lehrtrainer & Lehrtherapeut: systemische Ausbildung in Coaching, Beratung & Familientherapie für Studenten, Berufseinsteiger und Berufstätige München
 
Yvon Kavungu PREMIUM MEMBER 
Berlin
Y. Kavungu-Dozent im Bereich: CreO SolidWorks AutoCAD Architecture Autodesk Inventor MicroStation V8i CATIA V5 Revit Allplan
 
Andre Tetzlaff PREMIUM MEMBER 
Köln
Seit über 15 Jahren Erfahrung als Trainer in EDV Seminaren. Zertifiziert als Microsoft Office Specialist Master Instructor (MMI)
 
Albrecht Müllerschön PREMIUM MEMBER 
München
Bestseller-Autor und TOP-Trainer
 
Eduard Hajek PREMIUM MEMBER 
München
Trainieren Sie Ihre Skills: Präsentieren mit und ohne PowerPoint, Rhetorik, klassische Rednerberatung One-to-One
 


WEITERE LINKS



NEWS+++NEWS+++NEWS
alle zeigen
Besser telefonieren - für Handwerk, Einzelhandel, Dienstleister, Dienststellen (Neuerscheinung)
Im geschäftlichen Miteinander ist das Telefon immer noch einer der wichtigsten Kommunikationskanäle. In dem Buch stecken meine jahrzehntelangen beruflichen Erfahrungen mit telefonischen Services.
Buchneuerscheinung: "Service besser kommunizieren"
Serviceanbieter müssen sich heute nicht nur aufmerksamkeitswirksam am Markt zeigen, sondern auch wissen, wie sie Kunden erreichen und mit ihnen in Verbindung treten können.
Rhetorik Seminar München
Fünf mal pro Jahr veranstalten M. Pöhm das legendäre Rhetorik Seminar in München. Jetzt bald wieder…
Mario Mantese – Neue Hintergründe über einen angeblich Erleuchteten
Mario Mantese ist ein spiritueller Lehrer, der von sich behauptet seit einem Koma erleuchtet zu sein. Irgendetwas in seiner Biografie stimmt aber nicht


PARTNER
alle zeigen
Personaler Online Oberhausen
 
Personaler Online richtet sich an alle, die im Personalbereich beschäftigt sind.
   


 
Eine der größten deutschen
Job- & Informationsbörsen

- kostenlos Jobs ausschreiben
- freier Zugang zur Datenbank für spezielle Suchen
- umfangreicher Leistungskatalog zum stöbern
- professionelle persönliche Unterstützung & Beratung
- mit kostenlosem Kurzprofil Mehrwerte nutzen
- seriös & professionell seit 2002
Informations-Marketing
für Trainer & Dozenten

- Mit eigenem Profil präsent sein
- mit Fachartikeln sich abgrenzen
- mit aktuellen News am Ball bleiben
- durch Seminare eigene Leistungen bewerben
- durch Mitgliedschaften in Verbänden Qualität sichern
- durch Links & Downloads weitergehend informieren
alles über die
Dozenten Börse


- Unser Angebot
- Als Trainer jetzt anmelden
- kostenlos Job ausschreiben
- Impressum
- Kontakt & Support
- Unsere AGBs