Monitor: Datenschutzmanagementsystem (DSMS)

Gemäß AGB und Systemgebühren ist die Buchung und Nutzung mit einer langfristigen Preisstabilität garantiert, solange das Abo von den Verantwortlichen des Firmenprofils kontinuierlich aufrecht gehalten wird.
Starthilfe (normativ):
VdS 10000, DIN EN ISO/IEC 29151

Die Lizensierung dieses Monitors versetzt das Firmenprofil einer Organisation in die Lage, in Beziehung stehende Personalakten und Besucheraufzeichnungen (mit/ohne S24-Nutzerkonto) gemäß Verordnung (EU) 2016/679 (EU-DSGVO) in einem sogenannten PbD/PII-Controller (Kontrolleinheit für Personen bezogene Daten (PIMS)) zu behandeln.

Die Datenverarbeitung erfolgt im maßgeblichen Einklang nach BDSG § 33 bzw. BDSG § 26, bezieht den bestehenden Kontext der Organisation (Firmenprofil) ein und eröffnet über DIN EN 17529 eine leicht kontrollierbare Methodik zur Herstellung einer Durchlässigkeit von personenbezogenen Daten und Informationen (PbD) an dafür berechtigte Personen (z.B. Führungskräfte, Mitarbeiter) und Verantwortliche der Personalverwaltung und Organisationsführung.

Der Funktionsumfang des Monitors unterstützt mit vorgefertigten Datenverarbeitungsvorgänge, welche wie gewohnt lediglich besetzt, deligiert und berechtigt werden müssen. Die Position des

  • Interner Datenschutzbeauftragten (DSB)
    • Externer Datenschutzbeauftragten (DSB)
    • Inhaltlich Verantwortlicher gemäß § 18 Abs. 2 MStV (Bedingung für öffentliches Firmenprofil)
    • Verwalter (Personal) +/- (PbD)

stehen vorkonfguriert zur Verfügung.

Prüfgrundlage:
DIN EN ISO/IEC 27701
DSMS

Produktbeschreibung

Sachkunde24.de ist ein nach BDSG § 22 (2) gesetzeskonform organisiert sicherer Hafen (PbD-Prozessor), welcher die Nutzer (Nutzerkonto) bei Ihren Kollaborationen (Aktivitäten und Veröffentlichungen) in Bezug auf Personenbezogene Daten (PbD) auffordert im Vorsichtsprinzip zu handeln.

Für in Beziehung stehende Organisationen (Firmenprofil) werden PbD immer so vorbereitet und in das Innenverhältnis einer Beziehung vererbt, daß der DSGVO-konformen Weiterbehandlung für einen z.B. Datenschutzbeauftragten auf möglichst leichtem Wege zu organisieren ist und dem Eigentümer einer PbD die ihm obliegenden Rechte hinsichtlich Einsichtnahme, Änderungsservice und Löschung effizient bis automatisch eingeräumt sind.

Die Datenverarbeitung in einem Firmenprofil erfolgt so ebenfalls im Einklang mit dem dann mitgeltenden Bundesdatenschutzgesetz (BDSG § 33, BDSG § 26), bezieht den bestehenden Kontext der Organisation (Firmenprofil) ein und eröffnet über DIN EN 17529 eine leicht kontrollierbare Methodik zur Herstellung einer passgenauen Durchlässigkeit personenbezogenen Daten und Informationen (PbD) an dafür berechtigte Personen (z.B. Führungskräfte, Mitarbeiter) und Verantwortliche in der Personalverwaltung.

Der Funktionsumfang des Monitors unterstützt mit vorgefertigten Datenverarbeitungsvorgänge, welche wie gewohnt lediglich besetzt, deligiert und berechtigt werden müssen. Die Position des Datenschutzbeauftragten oder des Inhaltlich Verantwortlicher gemäß § 18 Abs. 2 MStV stehen vorkonfguriert sofort zur Verfügung.

Anschließend sind die Aspekte der Datenerhebung- und Syncronisation, Speicherung, Transparenz und Nachweisführung weitgehend selbstständig und in Rücksichtnahme der individuellen Interessenlage der handelnden Akteure an vielen Stellen umgehungsfrei fest geregelt. Folglich auch recht belastbar für Verantwortliche geeignet, welche die Arbeit von Datenschutzverantwortlichen regelmäßig überwachen, prüfen oder auditieren sollen.

Hinweise:
Die aktuelle Version realisiert dies für PbD mit beidseitig leicht nachvollziehbar "berechtigtem Interesse", also für Informationen zum Wohnsitz, Geburtstag, privaten Kontaktinformationen und Zertifikaten (Arbeitsmedizin), wo eine angemessene Halbwertzeit mit "Berechtigtem Interesse" zur Speicherung der Information oder eines Dokuments an die Dauer der Beziehung oder Dauer der Dokumentengültigkeit geknüpft werden kann.

Spätestens in 2026 wird aber auch die Abfrage und Zwischenspeicherung delikaterer Informationen z.B. der Körpergröße, Bauchumfangs zum Zwecke der "Beschaffung von passender PSA" möglich werden. Die Funktion ist dann mit einstellbaren Halbwertzeiten und rückstandfreier Informationsvernichtung ausgestattet.

Leitlinien (DSMS)

Leitlinien
ISO 27701

Datensicherheit und Datenschutz

Die Beschäftigten der %Organisation einschließlich in Beziehung stehende Nutzer von Sachkunde24.de (S24) (Beschäftigte) sind gehalten, zur Sicherheit und zum Schutz von Arbeitsystemen mit IKT-Ressourcen, insbesondere der bearbeiteten Daten beizutragen, und verpflichtet sich, die von der %Organisation oder vom %S24-Firmenvertreter (S24-FV) eingerichteten Sicherheitsvorkehrungen einschließlich Zutritts- und Berechtigungsstrukturen nicht absichtlich zu umgehen, zu stören, zu behindern, zu unterbrechen oder zu löschen.

Beschäftigte verpflichten sich, der verantwortlichen Leitung oder dem Datenschutzbeauftragten des Datenschutzmanagementsystem (DSMS) unverzüglich jede Anomalie oder Verdachtsmomente der Störung, z.B. unbefugtes Eindringen in das IKT-System zu melden. Darüber hinaus muss der Beschäftigte selbst die ihm vorgesetzte Führungskraft unverzüglich informieren, wenn eigene Zugriffrechte auf Daten und Informationen nicht der eigenen Berechtigungsstufe gemäß Stellenbeschreibung vermutet werden oder entsprechen.

Gliederung

Datensicherheit und Datenschutz
1 Personenbezogener Daten (PbD)
2 Schutz des IKT-Arbeitsplatzes
2.1 Umgang mit technischen Störungen
3 Arbeitskontinuität
4 Internet, Browser, Netzwerk und Datenaustausch
4.1 Außendienst
4.2 Homeoffice
4.3 Private mobile Endgeräte
5 Verschlüsselung, Tokenesierung und Blockchain
6 Nutzung von LLMs und Künstlicher Intelligenz (KI)

1 Personenbezogener Daten (PbD)

Unter personenbezogenen Daten (PbD) versteht man alle Informationen über eine identifizierte oder identifizierbare natürliche Person, als identifizierbare naturliche Person gilt eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung, wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung, oder auf eines oder mehrere spezifische Elemente seiner physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitat.

Bei der Ausübung, Interaktion und Kolaboration von Arbeitssysteme und Tätigkeiten könnten Beschäftigte auch Zugriff auf PbD oder Informationen über Mitarbeitern, Besuchern, Ansprechpartner von Kunden, Lieferanten und Partnern erlangen.

Die Beschäftigten der %Organisation erklären auch diese Daten und deren Vertraulichkeit anzuerkennen, wenn Ihnen aktuell keine explizite Einweisung zum Umgang, Unterweisung oder Bestellung zum Umgang mit diesen Daten erteilt wurde.

1.2 Rechte und Umgang mit Personenbezogener Daten (PbD)

Die Inhaber von personenbesogenen Daten werden nach Verordnung (EU) 2016/679 (EU-DSGVO) als "betroffene Personen" bezeichnet und haben Rechte der Transparenz bei der Erhebung, Auskunft über die aktuelle Erhebung, Berichtigung und Löschung der über Sie gespeicherten Daten und deren Verarbeitung.

Die Beschäftigten der %Organisation sind verpflichtet im Rahmen ihrer Befugnisse alle notwendigen Vorkehrungen zu treffen, um die Vertraulichkeit auf interne Informationen, insbesondere für PbD, auf die sie Zugriff haben zu schützen. Darüber hinaus im Vorsichtsprinzip und sensibel zu prüfen, ob Empfänger von PbD legitimiert sind, die eigenen oder fremde PbD entgegen zu nehmen.

Beschäftigte der %Organisation sind aufgefordert im Bezug auf Personenbezogene Daten (PbD):

  • auf die sie Zugriff haben, nur im Rahmen ihrer Arbeitssysteme und vorgesehenen Zwecke entgegen zu nehmen, zu verwenden, zu reproduzieren (Papierdruck, Screenshot) oder zu verwerten (Zusammenführung auf schriftlichen oder digitalen Aufzeichnungen);
  • nur an ordnungsgemäß im Rahmen ihrer Befugnisse zu deren Erhalt berechtigte Personen, egal ob private, öffentliche, natürliche oder juristische Person, und in den Fällen, die in den Verfahren der Organisation ausdrücklich vorgesehen sind, weiterzugeben;
    • es sei denn, es ist für die Ausübung einer aktuellen Arbeitsaufgabe zwingend notwendig und kurzfristig vernichtet
  • mit allen nötigen Maßnahmen, welche Ihnen im Rahmen ihrer Befugnisse zukommen, gegen Missbrauch oder betrügerische Verwendung zu schützen,
  • alle Maßnahmen, insbesondere Sicherheitsmaßnahmen, zu ergreifen, um die physische und logische Sicherheit dieser Informationen und Daten zu schützen
    • bei versehentlicher nicht korregierbarer Änderung, Verlust oder Weitergabe an unbefugte Dritte, umgehend Ihre vorgesetzte Führungskraft in Kenntnis zu setzen;
  • im Kontinuierlichen Verbesserungsprozess (KVP) - Datenschutzmanagementsystem (DSMS) aktiv Vorschläge zu unterbreiten
    • die in Ihren Arbeitssystemen durchgeführten Begehungen, Prüfungen und Audits - DSMS bestmöglich und mit Interesse zu unterstützen

1.2 Umgang mit Personenbezogener Daten (PbD) auf S24

1.2.1 Nutzerkonto und S24-KontaktID

Die eigene S24-KontaktID Ihres Nutzerkontos wurde konzipiert um ähnlich einer physischen Visitenkarte weitergegeben und verteilt zu werden. Zum Zwecke der Anbahnung von für die %Organisation sinnvollen Beziehungen darf ein Beschäftigter ausschließlich die eigene %S24-KontaktID persönlich nach Aufforderung eines interessierten Empfängers weitergeben (empfohlen) oder in seinem mit der %Organisation verknüpften Sachkundigenprofil (Prüfer, Berater, Trainer, Monteur) auch veröffentlichen (!Spamschutz).

Beschäftigte der %Organisation und Nutzer von Sachkunde24.de (S24) verpflichten sich eine fremde S24-KontaktID, z.B. eines Kollegen erst nach Rücksprache mit dessen Eigentümer zu verteilen (!Spamschutz). Dies gilt auch, wenn die S24-KontaktID sich in einem durch den Eigentümer veranlasst veröffentlichtem Zustand befindet (!Ettikette).

1.2.2 Recht auf Transparenz und Information Verordnung (EU) 2016/679 (Art. 13 - 15)

Beschäftigte mit Anbindung in Sachkunde24.de (S24) haben permanent gewährleistete Informationsrechte auf die eigenen Personenbezogenen Daten (PbD), welche in Ihrer [Beziehung](https://www.sachkunde24.de/de/beziehungen/ mit %Organisation in Ihrer digitalen Personalakte (Stellenbeschreibung, PbD, Visitenkarte oder ergänzenden Beauftragungen zu Ihrem Arbeitsvertrag) gespeichert sind.

1.2.3 Recht auf Berichtigung, Löschung und Widerspruch Verordnung (EU) 2016/679 (Art. 16 - 22)

Beschäftigte mit Anbindung in Sachkunde24.de (S24) haben ein permanent und direkt gewährleistete Vorschlagssrecht auf Korrektur der eigenen Personenbezogenen Daten (PbD), welche in Ihrer Beziehung mit %Organisation in Ihrer digitalen Personalakte (Stellenbeschreibung, PbD, Visitenkarte oder ergänzenden Beauftragungen zu Ihrem Arbeitsvertrag) aktualisiert werden müssen, sofern diese PbD im persönlichen Nutzerkonto persönlich hinterlegt oder von einer Beziehung mit angemessener Halbwertzeit der Speicherung bis zur Löschung abgefragt wurden.

2 Schutz des IKT-Arbeitsplatze

Die Erteilung der Zugangsberechtigungen zu den IKT-Ressourcen, darunter zum Arbeitsplatz oder S24-Nutzerkonto des Beschäftigten, erfolgen namentlich.

Als Schutz vor unbefugtem Zugriff, auch im Einzelfall, ist jeder Beschäftigte verpflichtet:

  • die von der Organisation physisch bereitgestellten Mittel (Schließanlage, Türcodes, Büroschlüssel) zu nutzen, um die Arbeitsplätz zu sichern,
  • davon Abstand zu nehmen, die installierten Sicherheitssysteme (Virenschutz, Firewall etc) zu umgehen oder zu blockieren;
  • die Passwortpolitik der %Organisation für den Zugang zu jeder IKT-Ressourcen anzuwenden (regelmäßige Änderung, ausreichende Länge und Komplexität des Passworts, etc.)
  • die Passwörter und Registrierungsinformationen geheim zu halten und in keinem Fall an interne- bzw. -externe Personen abzutreten, zu verleihen oder zu übertragen, auch nicht vorübergehend (vorbehaltlich zwingender dienstlicher Erfordernisse; in diesem Fall muss das Passwort geändert werden);
  • bei Verlassen des Arbeitsplatzes die IKT-Ressourcen wie Computer zu sperren, sich ggf. aus verwendeter Software und Netzwerken spätestens am Ende des Arbeitstags auszuloggen und vor dem Wochenende abzuschalten, ausgenommen im Fall technischer Notwendigkeiten zur Systempflege bzw. aus betrieblichen Gründen,
  • davon Abstand zu nehmen, etwaig festgestellte Sicherheitslücken bei den bereitgestellten IKT-Ressourcen übergangsweise zu nutzen und/oder sie darüber hinaus bekannt zu machen,
  • Arbeitsplatz-Backups durchzuführen.

2.1 Umgang mit technischen Störungen

Bei Störungen ist die Abteilung Informationssysteme zu verständigen. Das ungenehmigte Downloaden und installieren von Apps und Software zur Beseitigung von Störungen ist ausschließlich beauftragten Beschäftigten der Abteilung ISMS oder DSMS befugt oder kann diese genehmigen.

  • Nur die Ihnen namentlich bekannt und ausdrücklich dafür befugte Personen und Stellen sind berechtigt, administrative Eingriffe an den IKT- Ressourcen eines Beschäftigten vorzunehmen. Alle Arbeitssitzungen (aktive Netwerk- und Softwareanwendungen) der IKT-Ressource müssen vom Beschäftigten vor dem Eingriff abgemeldet sein.
  • Ferneingriffe in eine aktive Arbeitssitzung eines Beschäftigten sind nur auf Anfrage des Beschäftigten bzw. bei Anfrage durch die Abteilung ISMS oder DSMS nach Zustimmung des Beschäftigten und dessen Führungskraft möglich. Der Beschäftigte hat das Recht bei einem Ferneingriff in aktiver Arbeitssitzung hinreichend beteiligt und über die Prüf- und Wartungsergebnisse informiert zu werden.

3 Arbeitskontinuität

Der Zweck der Arbeitskontinuität bei Abwesenheit (Krankheit, Urlaub) ist ausdrücklich kein unmittelbarer Anlass für andere Personen eine Delegierung eigene Zugriffsrechte zu seinen beruflichen Daten einzurichten. Im Bsp. S24 ist hierzu ohnehin nur der Firmenvertreter berechtigt, allerdings darf auch der Firmenvertreter diese Delegation nur in Rücksprache mit seiner Führungskraft auf ein andere Beziehung (Verwalter) deligieren.

Darüber hinaus ist der Nutzer im Sinne der Arbeitskontinuität verpflichtet, die von ihm bearbeiteten, erstellten oder geänderten Daten mit Hilfe der bereitgestellten Programme, Geräte und/oder Verfahren sowie Netzwerkräume ausschließlich nur dann auszudrucken, zu speichern und abzulegen (Vermeidung von Duplikaten, unsauberen Revisionsständen), wenn hierfür eine schriftliche Prozessanweisung für einen Aushang oder Weitergabe vorliegt.

Bei Beendigung seiner Tätigkeit ist der Nutzer zur Gewährleistung der Arbeitskontinuität verpflichtet, der Organisation zusätzlich zu dem ihm zugewiesenen Material alle Ordner, Verzeichnisse, Dateien, E-Mails und generell alle beruflichen elektronischen Dokumente und die z.B. über S24 erstellten Datensätze und .pdfs zu hinterlassen.

4 Internet, Browser, Netzwerk und Datenaustausch

E-Mail

Das E-Mail-System ist kein überwachbar und sicherer Kommunikationskanal, sobald Nachrichten an Empfänger ausserhalb des von der Organisation bereitgestellten Web-Clients (...@unsereOrganisation.net) verschickt werden.

Während der interne Datenverkehr geschützt sind, entfallen viele Schutz-, Kontroll- und Handlungsmöglichkeiten, sobald die Daten über das öffentlich zugängliche Internet laufen. Vor dem Senden von Daten an Konzernfremde per E-Mail ist daher stets zu prüfen, wie sensibel diese Daten sind und ob die Empfängeradresse mit einem berechtigten Empfänger verifiziert werden kann bzw. wurde.

Wenn es daher aus beruflichen Gründen erforderlich ist, besonders sensible Daten mit Konzernfremden auszutauschen, ist zu empfehlen, sich an die zuständigen Ansprechpartner und Verantwortlichen der Abteilung DSMS bei Legitimierungsfragen oder ISMS bei technischen Fragen zu wenden, um eine dem erforderlichen Vertraulichkeitsbedarf angepasste und mit den Leitlinien und Schutzzielen vereinbare Lösung zu finden.

Clouddienste und Filesharing (S24, Dropbox, Google Drive etc

Chat (S24, Whattsapp, Signal etc.

ToDo

Datenschutzerklärung (Auszug_4A)

Wenn unsere Organisation oder in Zusammenarbeit mit externen Datenverarbeitern gesetzlich dazu verpflichtet ist, ein Ereignisprotokoll (*) und Filtersystem (**) für die Web-, Mail- und Datenaustauschverbindungen z.B. mit S24 einzurichten, gibt es die erforderlichen Erklärungen bei den verantwortlichen Stellen ggf. zuständigen Kontrollbehörden ab.

(* Aufbewahrung von Verbindungsdaten wie die Uhrzeit des Zugriffs und die IP-Adresse des Nutzers.
(** Für die Filterfunktion der Zugriffe zu Websites ist es ggf. erforderlich, den Datenaustausch zwischen dem vom Nutzer genutzten Endgerät und der Website zu entschlüsseln. Diese Analyse erfolgt global gemäß internen und mit externe Datenverarbeitern vereinbarten Datenschutzerklärungen z.B. S24-DSE: die entschlüsselten Daten werden nicht gespeichert (unzugängliche Daten). Die Protokolldatei der entschlüsselten Daten entspricht der Konfiguration für Standard-HTTP-Datensätze (Uhrzeit, Nutzer-Account, URL der Website, Zugriffsberechtigung, identifizierte Viren). Es werden keine weiteren Daten gespeichert.

4.1 Außendienst

ToDo
Datenschutzerklärung (Auszug_4A1)
4.2 Homeoffice
ToDo
Datenschutzerklärung (Auszug_4A2)

4.3 Private mobile Endgeräte

ToDo
Datenschutzerklärung (Auszug_4A3)

5 Verschlüsselung, Tokenesierung und Blockchain

Der Beschäftigte ist gehalten, ausschließlich die von der Organisation zugelassenen Lösungen zur Verschlüsselung und Tokenesierung von Informationen und Daten zu verwenden.

Es sei darauf verwiesen, dass die von Bürosoftwareanwendungen angebotene Schutzfunktion von Dateien per Passwort (Word, Excel, Powerpoint, PDF etc.) keinen wirksamen Schutz bietet, da im Internet zahlreiche frei zugängliche Anwendungen verfügbar sind, mit denen dieser Schutz auf einfache Weise aufgehoben werden kann.

6 Nutzung von LLMs und Künstlicher Intelligenz (KI)

Der Beschäftigte ist gehalten, ausschließlich die von der Organisation zugelassene KI zu verwenden. Das proaktive Anlernen von im Markt befindlichen KI-Lösungen (ChatGPT, Gemini, Deepseek, Grok) mit Informationen und Daten der Organisation ist ausschließlich den mit dieser Aufgabe von der Leitung beauftragten Beschäftigten und Diensleistern gestattet.

  • Die Zuführung von internen Informationen der Organisation und insbesondere Personenbezogene Daten (PbD) von in Beziehung stehenden Beschäftigten, Ansprechpartnern von Stakeholdern (Besucher, Ansprechpartner) in Prompts (Eingabemaske einer KI) ist strengstens untersagt.

Leistungsumfang (Firmenprofil)

Kontext Prozess Leistungsbeschreibung
Monitore Normenverzeichnis (DSMS) TODO [Monitor]
Organisation Audits (DSMS) TODO [Monitor]
Stakeholder Eintrag im Firmenverzeichnis TODO [Monitor]

Literaturverweise

Name letzte Aktualisierung Titel
BDSG (ff.) 2018 Bundesdatenschutzgesetz (BDSG)
Verordnung (EU) 2016/679 (EU-DSGVO) 04.03.2021 Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung (EU-DSGVO))
Verordnung (EU) 2023/1114 31.05.2023 Märkte für Kryptowerte
DIN EN ISO 9241 2023 Ergonomische Anforderungen für Bürotätigkeiten mit Bildschirmgeräten / Ergonomie der Mensch-System-Interaktion
VdS 10000 2022 Informationsverarbeitung - Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) - Anforderungen
VdS 10001 :2022-02 Informationsverarbeitung - VdS Quick-Audit - Verfahren
VdS 10002 :2019-11 Informationsverarbeitung - Zertifizierung von Managementsystemen für KMU (Informationssicherheit und Datenschutz) - Verfahren
VdS 10010 :2022-07 Informationsverarbeitung - Datenschutzmanagementsystem für kleine und mittlere Unternehmen (KMU) zur Umsetzung der DSGVO - Anforderungen
VdS 10012 :2018-01 Informationsverarbeitung - Datenschutzmanagementsystem für kleine und mittlere Unternehmen (KMU) zur Umsetzung der DSGVO - Verfahren
VdS 10013 :2018-12 Informationsverarbeitung - Richtlinien für die Anerkennung von Beratern für Datenschutzmanagement
DIN EN ISO 14090 :2020-02 Anpassung an die Folgen des Klimawandels - Grundsätze, Anforderungen und Leitlinien
DIN EN ISO/IEC 17065 :2013-01 Konformitätsbewertung - Anforderungen an Stellen, die Produkte, Prozesse und Dienstleistungen zertifizieren (ISO/IEC 17065:2012)
DIN EN 17529 :2022-08 Datenschutz und Schutz der Privatsphäre durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
DIN EN 17740 :2024-04 Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten
DIN EN 17799 - Entwurf :2022-01 Anforderungen an den Datenschutz bei Verarbeitungsvorgängen
DIN EN 17926 01.02.2024 Datenschutz-Informationsmanagementsystem per ISO/IEC 27701 - Verfeinerungen im europäischen Kontext
DIN EN ISO/IEC 18045:2023-12 - Entwurf 17.11.2023 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Evaluationskriterien für IT-Sicherheit - Methodik für die Bewertung der IT-Sicherheit (ISO/IEC 18045:2022)
DIN ISO/IEC 19086 2019 Informationstechnik - Cloud Computing - Dienstgütevereinbarung (SLA) Rahmenwerk
ISO/IEC 19770 2024 Informationstechnik - Management von IT-Assets
DIN EN ISO 22300 :2021-06 Sicherheit und Resilienz - Begriffe
DIN EN ISO 22301 :2020-06 Sicherheit und Resilienz - Business Continuity Management System (BCMS) - Anforderungen
DIN EN ISO 22361 :2023-02 Sicherheit und Resilienz - Krisenmanagement - Leitlinien für die Entwicklung einer Strategie
DIN EN ISO 22739 :2022-12 Blockchain und Technologien für verteilte elektronische Journale - Begriffe
DIN EN ISO 26000 :2021-04 Leitfaden zur gesellschaftlichen Verantwortung
DIN EN ISO/IEC 27000 :2020-06 Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Überblick und Terminologie
DIN EN ISO/IEC 27001 :2024-01 Informationssicherheit, Cybersicherheit und Datenschutz - Informationssicherheitsmanagementsysteme - Anforderungen
DIN EN ISO/IEC 27002 :2024-01 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen
ISO/IEC 27002 :2022-02 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen
ISO/IEC 27005 01.10.2022 Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken
DIN EN ISO/IEC 27005 :2025-01 Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden zur Handhabung von Informationssicherheitsrisiken
DIN EN ISO/IEC 27007 01.10.2022 Informationssicherheit, Cybersicherheit und Datenschutz - Leitfaden für das Auditieren von Informationssicherheitsmanagementsystemen
DIN ISO/IEC 27009 01.09.2022 Informationssicherheit, Cybersicherheit und Datenschutz - Sektorspezifische Anwendung der ISO/IEC 27001 - Anforderungen (ISO/IEC 27009:2020)
DIN EN ISO/IEC 27018 :2020-08 Informationstechnik - Sicherheitsverfahren - Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung
ISO/IEC 27031 :2011:03 Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für die Bereitschaft von Informations- und Kommunikationstechnologien für Business Continuity (IRBC)
DIN EN ISO 27501 :2019-06 Die menschzentrierte Organisation - Anleitung für Führungskräfte
ISO/IEC 27555 01.10.2021 Informationssicherheit, Cybersicherheit und Datenschutz - Richtlinien zur Löschung persönlich identifizierbarer Informationen
DIN EN ISO/IEC 27701 01.07.2021 Sicherheitstechniken - Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Managementsystem von Informationen zum Datenschutz - Anforderungen und Leitlinien
DIN ISO 28000 :2023-11 Sicherheit und Belastbarkeit - Sicherheitsmanagementsysteme - Anforderungen für die Lieferkette
DIN EN ISO/IEC 29100 01.09.2020 Informationstechnik - Sicherheitsverfahren - Rahmenwerk für Datenschutz
DIN EN ISO/IEC 29151 :2022-07 Informationstechnik - Sicherheitsverfahren - Leitfaden für den Schutz personenbezogener Daten
DIN EN ISO/IEC 29184 01.11.2023 Informationstechnologie - Online-Datenschutzerklärung und Einwilligung
DIN ISO 30401 :2022-11 Wissensmanagementsysteme - Anforderungen
DIN ISO 30414 :2019-06 Personalmanagement - Leitlinien für das interne und externe Human Capital Reporting
DIN ISO 31000 :2018-10 Risikomanagement - Leitlinien
DIN EN/IEC 31010 :2024-12 Risikomanagement - Verfahren zur Risikobeurteilung (IEC 31010:2019)
DIN 31645 :2011-11 Information und Dokumentation - Leitfaden zur Informationsübernahme in digitale Langzeitarchive
DIN 33430 :2016-07 Anforderungen an berufsbezogene Eignungsdiagnostik
DIN ISO 37301 :2021-11 Compliance-Managementsysteme - Anforderungen mit Leitlinien zur Anwendung
DIN EN ISO 56000 :2024-03 - Entwurf Innovationsmanagement - Grundlagen und Begriffe
DIN EN ISO 56001 :2025-02 Innovationsmanagementsystem - Anforderungen
DIN EN ISO 56002 :2021-08 Innovationsmanagement - Innovationsmanagementsystem - Leitfaden
DIN EN ISO 56003 :2021-08 Innovationsmanagement - Werkzeuge und Methoden für Innovationspartnerschaften - Leitfaden
DIN SPEC 66286 :2014-07 Management von Cloud Computing Lösungen in kleinen und mittleren Unternehmen (KMU)
DIN 66398 :2016-05 Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten
DIN 66399-1 01.10.2012 Büro- und Datentechnik - Vernichten von Datenträgern - Teil 1: Grundlagen und Begriffe
DIN SPEC 91443 :2021-08 Systematisches Wissensmanagement für KMU - Instrumente und Verfahren
BSI T-25 V 1.0 06.06.2025 BSI T-25 V.1.0 - Kriterienkatalog des BSI zur Integration von extern bereitgestellten generativen KI-Modellen in eigene Anwendungen
BDSG § 22 2018 Verarbeitung besonderer Kategorien personenbezogener Daten
BDSG § 26 2018 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
BDSG § 27 2018 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
BDSG § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
BDSG § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
BDSG § 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
BDSG § 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
BDSG § 34 Auskunftsrecht der betroffenen Person
BDSG § 35 Recht auf Löschung
BDSG § 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
BDSG § 38 Datenschutzbeauftragte nichtöffentlicher Stellen
BDSG § 39 Akkreditierung
BDSG § 42 Strafvorschriften
BDSG § 43 Bußgeldvorschriften
BDSG § 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
BDSG § 46 Begriffsbestimmungen
BDSG § 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
BDSG § 48 Verarbeitung besonderer Kategorien personenbezogener Daten
BDSG § 49 Verarbeitung zu anderen Zwecken
BDSG § 50 2018 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
BDSG § 51 Einwilligung
BDSG § 52 Verarbeitung auf Weisung des Verantwortlichen
BDSG § 53 Datengeheimnis
BDSG § 54 Automatisierte Einzelentscheidung
BDSG § 55 Allgemeine Informationen zu Datenverarbeitungen
BDSG § 56 Benachrichtigung betroffener Personen
BDSG § 57 Auskunftsrecht
BDSG § 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
BDSG § 59 Verfahren für die Ausübung der Rechte der betroffenen Person
BDSG § 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
BDSG § 62 Auftragsverarbeitung
BDSG § 63 Gemeinsam Verantwortliche
BDSG § 64 Anforderungen an die Sicherheit der Datenverarbeitung
BDSG § 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
BDSG § 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
BDSG § 67 Durchführung einer Datenschutz-Folgenabschätzung
BDSG § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
BDSG § 69 Anhörung der oder des Bundesbeauftragten
BDSG § 70 Verzeichnis von Verarbeitungstätigkeiten
BDSG § 71 2018 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
BDSG § 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
BDSG § 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
BDSG § 74 Verfahren bei Übermittlungen
BDSG § 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
BDSG § 76 Protokollierung
BDSG § 77 Vertrauliche Meldung von Verstößen
BDSG § 78 Allgemeine Voraussetzungen
BDSG § 79 Datenübermittlung bei geeigneten Garantien
BDSG § 80 Datenübermittlung ohne geeignete Garantien
BDSG § 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
BDSG § 82 Gegenseitige Amtshilfe
BDSG § 83 2018 Schadensersatz und Entschädigung
BDSG § 84 2018 Strafvorschriften
BDSG § 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
BDSG § 86 Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen
BGB § 823 § 823 Schadensersatzpflicht - Bürgerliches Gesetzbuch (BGB)

Synonyme

  • Vorlage Leitfaden Datenschutzmanagementsystem (DSMS) en: privacy information management system (PIMS)
    • Datenschutz Sicherheitsmanagement (DSGVO)
  • Digitalisierung Datenschutzmanagementsystem /
    • Software Datenschutzmanagementsystem kostenlos
    • Datenschutzmanagementsystem online als Cloudlösung

Hinweise der Redaktion

Titel letzte Änderung
Betriebsanweisung und Reaktionsplan 26.09.2025 08:05
Blockchain und Kryptowerte 15.11.2024 10:56
Informations- und Kommunikationstechnologie (IKT) 15.08.2025 14:59
Interessierte Partei (ISMS+DSMS) 15.04.2025 09:51
Künstliche Intelligenz (KI) 25.07.2025 16:58
Managementsystem 20.08.2025 12:48
Prüfung & Audit 20.08.2025 13:23
Sicherheit & Risiko 29.08.2025 15:59
Wissen & Kompetenz 04.04.2025 11:01
Zielgruppe (Sachkunde24) 25.07.2025 17:14