Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]
Audit
Compliance-Lektionen aus Niedersachsen
Ein langjähriger Mitarbeiter der niedersächsischen Justizverwaltung soll nach Berichten des NDR über einen Zeitraum von fast neun Jahren hinweg öffentliche Gelder in Höhe von 1,4 Millionen Euro unrechtmäßigerweise abgeführt haben. Demnach sollen sich Unregelmäßigkeiten in Abrechnungen und Zahlungen über einen längeren Zeitraum angesammelt haben, bis sie im Zuge einer internen Prüfung im Jahr 2024 auffielen. […]
Datenschutz: Hessen macht den Weg frei für Microsoft 365
Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr […]
Datenpannen-Revival: Zu absurd, um wahr zu sein?
Vor fast zehn Jahren berichteten wir über einen skurrilen Fall einer Datenschutzverletzung: die Patientenakte aus der Konfettikanone. Was war passiert? Eine Anwohnerin hatte nach einem Karnevalsumzug und beim Zusammenfegen von Konfetti herumliegende Papierschnipsel mit dem Namen ihrer Schwester darauf entdeckt. Die personenbezogenen Daten stammten von nicht fachgerecht zerkleinerten Patientenakten eines Krankenhauses in Thüringen, welchen eine […]
Interne und externe Audits im Mock-Audit – Vorbereitung auf den Ernstfall
Der Status eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 wird erst durch ein externes Audit erreicht, das von unabhängigen Auditoren einer akkreditierten Zertifizierungsstelle durchgeführt wird. Zur Aufrechterhaltung der Zertifizierung ist dieses Audit jährlich zu wiederholen, wobei der Umfang der Überprüfung variiert. Zum Bestehen des externen Audits muss wiederum im Vorfeld ein internes Audit zu Erfüllung […]
Unterschiede und Gemeinsamkeiten: Datenschutzaudit vs. „DSGVO-Zertifikat“
Willkommen beim 3. Teil der Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“. In diesem Beitrag werden Datenschutzzertifikat und Datenschutzaudit einander gegenübergestellt. Rechtliche Grundlagen Zunächst einmal lässt sich feststellen, dass im Gegensatz zum Datenschutzaudit das „DSGVO-Zertifikat“ gesetzlich normiert ist. Und das hat einen Grund: Durch klare Vorschriften und Anforderungen für die Zertifizierungsdienste soll ein zuverlässiges und transparentes […]
Corona und ISO/IEC 27001
„Corona und ISO/IEC 27001?“ mag so manche*r jetzt einwerfen. „Echt jetzt? Müssen wir uns noch damit beschäftigen?“ Ich denke: ja. Denn auch wenn jetzt mit den zunehmenden Impfungen Licht am Ende des Tunnels erkennbar ist, werden wir uns vermutlich noch länger mit den Ein- und Beschränkungen herumplagen müssen, die die Corona-Pandemie mit sich bringt. Und […]
OWASP Top Ten: A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls noch […]