News

06/2017

Die EU-Datenschutzgrundverordnung kommt!

Die zum 25.05.2018 zur Anwendung kommende EU-Datenschutzgrundverordnung (EU-DSGVO) hat ab diesem Datum Vorrang vor allen anderen nationalen Datenschutzgesetzen der Mitgliedsstaaten und löst alle Regelungen, die nicht mit dieser Grundverordnung vereinbar sind, bzw. soweit keine sogenannten Öffnungsklauseln für eigene Regelungen vorhanden sind, ab.

Folgende Inhalte sind hier hervorzuheben:

  • Es gilt fortan das sogenannte Marktortprinzip, d.h. die Vorgaben der EU-DSGVO gelten auch für Unternehmen, die keinen Sitz in der EU haben, aber hier mit Ihren Angeboten auf dem europäischen Markt tätig sind. Wo die Datenverarbeitung stattfindet, ist nun nicht mehr relevant. Jede Verarbeitung personenbezogener Daten von Nutzerinnen und Nutzern aus der EU fällt unter den Geltungsbereich der EU-DSGVO.
  • Erweiterung der Betroffenenrechte:
    - Die Betroffenen sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden. Wenn als Rechtsgrundlage die Interessensabwägung herangezogen wird, müssen auch die "berechtigten Interessen" an der Erhebung und Verarbeitung aufgezählt werden.
    - Recht auf Vergessenwerden: Alle Unternehmen sind zukünftig verpflichtet auf Wunsch des Nutzers nicht nur die im Unternehmen gespeicherten Daten zu löschen, sondern darüber hinaus Sorge zu tragen, dass eine Löschung von weitergegebenen Daten des Betroffenen ebenfalls erfolgt.
    - Datenübertragbarkeit: Ein Nutzer hat das Recht, seine bei einem Anbieter gespeicherten Daten, wie Fotos, Post oder Freundeslisten bei Wechsel zu einem anderen Anbieter mitzunehmen. Der bisherige Anbieter ist hier für die Übertragung verantwortlich, muss also hinsichtlich Kompatibilität und Transportabilität selbst Vorsorge treffen.
  • Datenschutzkonzept: Jede Stelle muss nachweisen können, dass sie ein Gesamtkonzept (IT-, Daten- und Informationssicherheit, Datenschutz) besitzt, um den Datenschutz gewährleisten zu können ("Rechenschaftspflicht"). Dieses muss sie auch regelmäßig kontrollieren und ggf. weiterentwickeln.
  • Datenschutzbeauftragter: In Deutschland soll die Bestellpflicht für Datenschutzbeauftragte weiterhin unverändert nach den Vorgaben des alten Bundesdatenschutzgesetzes fortbestehen. Die DS-GVO enthält eine Öffnungsklausel, die der deutsche Gesetzgeber nutzen möchte.
  • Der Datenschutzbeauftragte hat nun zwei Aufgabenschwerpunkte: Die Aufgabe des Beratens und Unterrichtens in Angelegenheiten des Datenschutzes und die des Überwachens der Einhaltung des Datenschutzes einschließlich der Dokumentation hierzu.
  • Privacy by design und privacy by default: Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen. D.h. dass ein Anbieter von Anwendungslösungen bereits die datenschutzkonforme Einsatzmöglichkeit seiner Lösung garantieren muss, die Voraussetzungen des datenschutzkonformen Einsatzes beim Anwender also gegeben sind.
  • Auftragsverarbeitung: Der Auftragnehmer oder zukünftig Auftragsverarbeiter haftet gemeinsam mit dem für die Verarbeitung Verantwortlichen (bisher Auftraggeber) gegenüber dem Betroffenen. Die Auftragsverarbeiter müssen nun ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den für die Verarbeitung Verantwortlichen durchführen.
  • Datenschutzfolgeabschätzung: Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut. Diese muss von der verantwortlichen Stelle erstellt werden. Der Datenschutzbeauftragte hat hier beratende Tätigkeit bzw. führt eine abschließende Beurteilung des von der verantwortlichen Stelle dargestellten Sachverhalts. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.
  • Datenschutzverstöße: Zukünftig müssen alle Datenschutz-Vorfälle gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind "ohne unangemessene Verzögerung" zu benachrichtigen.
  • Bußgelder: Fast jeder Verstoß gegen die DS-GVO kann geahndet werden. Der Bußgeldrahmen wird deutlich erhöht und kann bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Bei weiteren Fragen kontaktieren Sie gerne unseren Experten Dr. Rainer Harwardt:
rainer.harwardt@orgateam.org
+49 (7805) 918 - 2553

 

 

03/2017

Die Übergangsfrist ISO 9001:2008 zu ISO 9001:2015

Mittlerweile ist die internationale Fassung der neuen Revision ISO 9001:2015 seit 15.09.2015 in Kraft getreten. Die deutschsprachige DIN EN ISO 9001:2015 folgte am 23.10.2015, also mehr als einen Monat später. Es ist allseits bekannt, dass diese Revision signifikante Neuerungen und Änderungen beinhaltet. Eine große Rolle, jedoch weniger fokussiert spielt die Übergangsfrist von 3 Jahren. Zertifizierte Organisationen und Unternehmen sehen sich nun einem Zeitdruck für die Umsetzung ausgesetzt. Maßgebliche Faktoren hierbei sind der jeweilige Audittermin im Zusammenhang mit den Übergangsfristen.

ISO 9001:2008 tritt außer Kraft, eine Re-Zertifizierung ist dennoch möglich

Seit der Veröffentlichung der 9001:2015 ist die 9001:2008 außer Kraft getreten. Bestehende Zertifikate nach der ISO 9001:2008 behalten entlang der dreijährigen Übergangsfrist ihre Gültigkeit. Re-Zertifizierungen nach ISO 9001:2008 können während der Übergangsfrist durchgeführt werden. Die Gültigkeit endet jedoch mit Ablauf der Übergangsfrist.

Neuerungen einführen und umsetzen

Spätestens im Oktober 2018 muss die Einführung der neuen Revision in Ihrer Organisation vollzogen sein. Die Aufwände hierzu sind nicht zu unterschätzen. Denn neben der Dokumentation von Neuerungen und Änderungen stehen die alltäglichen Aufgaben Ihrer Mitarbeiter im Rampenlicht.

Bei weiteren Fragen kontaktieren Sie gerne unseren Experten Marcus Wiesler:
marcus.wiesler@orgateam.org
+49 (761) 8815-2557

 

 

07/2016

Das IT-Sicherheitsgesetz – bin ich betroffen?
Rechtsverordnung zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten.


Im Juli 2015 verabschiedete der Bundestag das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) mit dem Ziel, besonders gefährdete Infrastrukturen – sogenannte kritische Infrastrukturen – besser zu schützen. Das Gesetz regelt, dass die informationstechnischen Systeme kritischer Infrastrukturen von den Betreibern abzusichern und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Für die Absicherung sollen Mindestsicherheitsstandards angewendet werden, wie sie bspw. durch die internationale Norm ISO/IEC 27000 oder den IT-Grundschutz des BSI definiert werden.

Offen blieb bisher, wer genau als Betreiber kritischer Infrastrukturen gilt.

Seitens des Gesetzgebers wurde mit Veröffentlichung des IT-Sicherheitsgesetzes ausgeführt, dass Unternehmen oder Organisationen mit Dienstleistungen zur Versorgung der Allgemeinheit, insbesondere aus den Bereichen Energieversorgung, Wasser und Abwasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheitswesen, Transport und Verkehr, Finanz- und Versicherungswesen sowie Staat und Verwaltung zu den Betreibern kritischer Infrastrukturen zu zählen sind. In diesem Zusammenhang sprach man in Summe von ca. 2.000 Betreibern in Deutschland.

Am 02.05.2016 wurde nun im Bundesgesetzblatt Teil I, 2016, Seite 958 die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) veröffentlicht, die am 03.05.2016 in Kraft getreten ist.

Mit dieser Verordnung werden in einem ersten Schritt für die Sektoren Energie, Wasser und Abwasser, Ernährung sowie Informationstechnik und Telekommunikation Schwellwerte festgelegt, bei deren Erreichung und Überschreitung der Versorgungsgrad einer Anlage als bedeutend anzusehen ist, sprich „[…] deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.“ (§1 BSI-KritisV). In Summe sind rund 730 Kritische Infrastrukturen aus den betreffenden Sektoren in Deutschland durch diese Verordnung erfasst.

Um ein Beispiel zu nennen wird im Sektor Energie gemäß der BSI-KritisV in die Kategorien Stromversorgung, Gasversorgung, Kraftstoff- und Heizölversorgung sowie Fernwärmeversorgung unterteilt, wobei je Kategorie die Erzeugung bzw. Förderungen, die Speicherung und die Übertragung bzw. Verteilung zu berücksichtigen sind.

Sektorenübergreifend wird ein Regelschwellwert von 500.000 versorgten Personen zugrunde gelegt. Dieser wird am Beispiel des Sektors Energie auf angenommene Durchschnittsverbrauche pro Person und Jahr umgerechnet, was schließlich zu einem Schwellwert von 420 MW installierte Netto-Nennleistung (elektrisch) für das Beispiel Stromerzeugungsanlagen führt.

Für die übrigen Sektoren Gesundheitswesen, Transport und Verkehr, sowie Finanz- und Versicherungswesen sollen in einer weiteren Verordnung bis Anfang 2017 Schwellwerte festgelegt werden.

Was ist nun zu tun? Sollte Ihre Organisation in einem der genannten Sektoren tätig sein und aufgrund der Überschreitung der Schwellwerte per Definition unter die Betreiber der kritischen Infrastrukturen fallen, so ist bspw. die Einführung eines Informationssicherheits-Managementsystems (ISMS) erforderlich, die Umsetzung der Gesetzesvorgaben muss regelmäßig belegt werden und etwaig aufgetretene Sicherheitsvorfälle sind zu melden. Hierzu ist insbesondere die Benennung eines Ansprechpartners für die Informationssicherheit essentiell.

Doch auch wenn Sie nicht augenscheinlich die in der KritisV festgelegten Schwellwerte überschreiten, kann die Einführung von Informationssicherheit für Sie relevant sein oder werden. So sind grundsätzlich alle Energieversorger aufgrund des Energiewirtschaftsgesetzes (§ 11 EnWG) verpflichtet, den von der Bundesnetzagentur erstellten IT-Sicherheitskatalog zu erfüllen. Dieser sieht u.a. die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems vor.

Sollten Sie kein Betreiber kritischer Infrastrukturen sein, können ggf. vertragliche Verpflichtungen mit Kunden oder Lieferanten die Einführung eines Informationssicherheits-Managementsystems erforderlich machen. Aus Compliance-Sicht macht dies auf jeden Fall Sinn.


Sie haben Fragen zum IT-Sicherheitsgesetz? Sie sind Betreiber einer kritischen Infrastruktur und sind sich nicht sicher, ob Sie handeln müssen und was genau zu tun ist?

Sie haben allgemeine Fragen zur Einführung eines Informationssicherheits-Managementsystems oder zur „IT-Sicherheit“?

Sprechen Sie uns an! Unsere ORGATEAM-Berater stehen Ihnen gerne zur Verfügung.

 

 

 

07/2016

Floor Walking / Training on the Job - praxisorientiertes Office-Coaching

Der erste Tag nach dem Anwendertraining:
Der Anwender möchte das neue Wissen zeitnah in seinem Arbeitsablauf anwenden. Dabei ergeben sich neue Herausforderungen oder Verständnisfragen. Erfahrungsgemäß sind die Aufgabenstellungen in der Realität oft anspruchsvoller als das Übungsbeispiel und erfordern komplexe Lösungswege als erwartet.
Floor Walking ist die ideale Ergänzung zum Anwendertraining. Beim Floor Walking unterstützt der Trainer den Mitarbeiter bei der Lösungsfindung, direkt an seinem Arbeitsplatz. Weiterlesen ...

 

 

 

06/2016

Jetzt auch bei ORGATEAM: Design Thinking Workshop!

Wie können komplexe Probleme gelöst, ganzheitliche Betrachtungsweisen entwickelt und neue Lösungen in den Markt gebracht werden? Design Thinking als Methode und Denkansatz stellt hierfür den Nutzer in den Mittelpunkt des Prozesses. Dieses Seminar führt in die Denk- und Handlungsweise von Design Thinking ein. Dabei geht es um das intuitive Herantasten an neue Produkte und Dienstleistungen mit Hilfe schneller Rohkonzepte und einfacher Prototypen, die den Fokus gezielt auf die Endanwender richten. Die Teilnehmer durchlaufen in diesem Kurs den kompletten Prozess eines Design Thinking Projekts und lernen zahlreiche Methoden und Tools in praktischen Übungen im Team kennen ...

Mehr Infos & Anmeldung zum Design Thinking Workshop29.-30.09.2016 in Karlsruhe oder 13.-14.10.2016 in Karlsruhe

 

 

 

05/2016

Aus aktuellem Anlass: Neuer IT-Sicherheitskurs für Ihr Unternehmen!

Dieser Tage wird in Fachkreisen über Verschlüsselungs-Trojaner wie 'CryptXXX' diskutiert.
Doch nicht erst seit heute gilt: ein unbedachter Mausklick kann ausreichen, um in kürzester Zeit großen Schaden für ein Unternehmen anzurichten! Die steigende Gefahr durch Angriffe über das Internet macht einmal mehr die Bedeutung einer umfassenden IT-Sicherheit bewusst. Informieren Sie deshalb sich und Ihre Mitarbeiter präventiv über die Verantwortung des Einzelnen, die 'Risiken und Nebenwirkungen' und die richtigen Verhaltensweisen - mit einem halbtägigen Firmenseminar, gehalten von einem unserer Experten:

IT-Sicherheit in Ihrem Unternehmen (Mitarbeiterschulung)

 

 

 

10/2015

EuGH: Safe Harbor gekippt!

Der Europäische Gerichtshof hat am 06.10.2015 in der Rechtssache C-362/14 die Safe Harbor Principles gekippt und die Befugnisse der nationalen Datenschutzaufsichtsbehörden gestärkt. Hintergrund ist die Auseinandersetzung von Max Schrems mit Facebook und der irischen Datenschutzaufsichtsbehörde über die Zulässigkeit der Datenübermittlung aus Irland in die USA auf der Grundlage der Safe Harbor-Principles.

Die Kernaussagen des EuGH sind laut Pressemitteilung zum einen, dass er den Beschluss der EU-Kommission betreffend Safe Harbor aus dem Jahr 2000 für ungültig erklärt und Safe Harbor damit keine Rechtsgrundlage mehr für die Übermittlung von Daten an Unternehmen in den USA. Zum zweiten erklärte das Gericht, dass die nationalen Datenschutzbehörden bei Beschwerden in völliger Unabhängigkeit prüfen können müssen, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie 95/46/EG aufgestellten Anforderungen gewahrt werden, und sind dabei nicht an Entscheidungen der EU-Kommission zur Angemessenheit des Schutzniveaus in dem jeweiligen Drittland gebunden.

Quelle: Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Wenn Sie Fragen zum Thema haben, stehen Ihnen unsere ORGATEAM-Berater gerne zur Verfügung.

 

 

 

10/2015

Projekte bestimmen unseren Alltag, ob man sich dessen bewusst ist oder nicht!

Kostenloser Workshop am 22.10.2015 bei LEITWERK in Appenweier
Referenten:
Dr. Bülent Tarkan (Max-Planck-Institut), Wolfgang Schnörr (Caritasverband Mainz), Ueli Moser (ERAM)

Erfolgreiche Projekte erfordern eine Kombination einer Methodenkompetenz und geeigneter Werkzeuge, die eine standardisierte Arbeitsweise unterstützen. Nur durch diesen integrativen Einklang können Teams und Aufgaben koordiniert, dokumentiert und der Projektfortschritt visualisiert werden.

Es ist nicht einfach, innerhalb des Unternehmens eine durchgängige Arbeitsweise und ein gemeinsames Verständnis zum Thema Projekt zu schaffen. Mitarbeiter müssen sich auf diese neue Arbeitsweise einlassen und darin Mehrwerte für das Unternehmen und nicht für den eigenen Arbeitsbereich sehen. Dies stellt meist bereits die erste Hürde in vielen Unternehmen dar, doch viel Schwieriger ist die Sicherstellung der konsequenten Einhaltung im Alltag. Zur Erreichung einer entsprechenden Nachhaltigkeit können geeignete Werkzeuge als Lenkungs- oder Führungsmittel beitragen, da sie die Arbeitsweisen im Alltag begleiten. Jedoch muss man sich eines bewusst machen. Eine Methode ohne Konsequenz scheitert ebenso, wie die Einführung eines Tools ohne Vermittlung der Grundlagen und Beweggründe.

Erfahren Sie bei unserem Workshop, welche Herausforderungen im Mittelstand mittels eines Projektmanagements gemeistert werden können und wie Sie es schaffen Team zu koordinieren, einen einheitlichen Informationsstand sicherzustellen und dies durch pragmatische Ansätze im Alltag abzubilden.

 

 

 

07/2015

Bundestag verabschiedet IT-Sicherheitsgesetz

Der Deutsche Bundestag hat heute in 2. und 3. Lesung den Entwurf der Bundesregierung für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) abschließend beraten und mit großer Mehrheit angenommen. Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.

Hierzu erklärt Bundesinnenminister Dr. Thomas de Maizière:
"Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cyber-Sicherheit immer mehr zu einem zentralen Baustein der Inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. Mit dem heute vom Deutschen Bundestag verabschiedeten IT-Sicherheitsgesetz kommen wir bei der Stärkung unserer IT-Systeme einen wichtigen Schritt voran. Heute ist ein guter Tag für mehr Sicherheit und Vertrauen im Internet."

Ebenfalls vom Deutschen Bundestag angenommen wurde ein Änderungsantrag der Koalitionsfraktionen zum IT-Sicherheitsgesetz, der die wichtigsten Ergebnisse einer zu dem Entwurf des IT-Sicherheitsgesetzes durchgeführten Sachverständigenanhörung umsetzt. Mit dem Änderungsantrag werden u.a. die Kompetenzen des BSI im Bereich der IT-Sicherheit der Bundesverwaltung gestärkt.

Bundesinnenminister de Maizière lobte die konstruktive Debatte im parlamentarischen Verfahren und begrüßte den Änderungsantrag ausdrücklich: "Das Gesetz wird durch die im parlamentarischen Verfahren eingebrachten Ergänzungen noch besser. Insbesondere freue ich mich, dass wir auch bei der Sicherung der Regierungsnetze einen großen Schritt vorankommen."

Quelle: Bundesministerium des Innern.

 

 

 

05/2015

Nichts ist beständiger als Veränderung

Durch Neustrukturierungen innerhalb der LEITWERK-Gruppe haben wir unser Serviceangebot nicht zuletzt mit Blick auf Ihre speziellen Anforderungen nochmals erweitert:

Zum 28. April 2015 wurden die CONNECT® Computer & Netzwerktechnik GmbH in Freiburg und die CONNECT® Karlsruhe GmbH in die LEITWERK-Gruppe verschmolzen. Damit bieten wir Ihnen ab sofort einen 360°-IT-Service aus einer Hand. Über das Leistungsspektrum können Sie sich jederzeit auf unserem Solutionwalk am Stammsitz in Appenweier informieren.  

Bereits im Januar diesen Jahres wurden durch die Integration des Schulungscenters von CONNECT® in die ORGATEAM GmbH die Themenbereiche Training, Beratung und Coaching unter einem Dach vereint. Es freut mich, Ihnen mitteilen zu können, dass für Sie nun ergänzend zu dem Ihnen bekannten Trainingscenter in Freiburg auch Schulungsräumlichkeiten in Appenweier und Karlsruhe zur Verfügung stehen. Selbstverständlich kommen wir auch weiterhin mit unserem „Fliegenden Klassenzimmer“ gerne zu Ihnen vor Ort. 

Für weitere Fragen zu den Neustrukturierungen und dem erweiterten Serviceangebot oder auch für eine Terminvereinbarung für unseren Solution Walk wenden Sie sich einfach an Ihre bekannten Ansprechpartner.

Wir freuen uns auf eine weiterhin gute Zusammenarbeit.

 

    Tobias Rottacker                              Oliver Möcklin

Teamleiter Trainingscenter                  Geschäftsführer

Herr Oliver Möcklin

Ihr Ansprechpartner

Herr Oliver Möcklin
Geschäftsführer
Tel +49 (761) 8815-170