Sicherheit für KMUs - rechtliche Aspekte
 

Spezifische rechtliche und regulatorische Bestimmungen müssen von jeder Organisation eingehalten werden. Diese Bestimmungen gelten in Bezug auf Datenschutz, Urheberrecht sowie auf spezifische Regelungen welche sich aus dem Tätigkeitsbereich der Organisation ergeben. (Sehen Sie auch rechtliche Aspekte)

Unerlaubter Umgang mit persönlichen Daten - Überwachung der Mitarbeiter

Das luxemburgische Gesetz vom 2. August 2002 zum Schutz personenbezogener Daten bei der Datenverarbeitung hat als Ziel den "Schutz der Grundfreiheiten und Grundrechte natürlicher Personen [...] bei der Verarbeitung der persönlichen Daten." Es begründet auch die Nationale Datenschutzkommission (CNPD – http://www.cnpd.lu ), welche beauftragt ist zu prüfen "[…] ob Art der Datenverarbeitung […] im Einklang mit dem […] Gesetz ist". Alle Organisationen in Luxemburg müssen dieses Gesetz befolgen
Beispielsweise bedarf die Verarbeitung personenbezogener Daten in einigen Fällen einer vorherigen Genehmigung durch die CNPD. Achten Sie darauf: - alle Verarbeitungen personenbezogener Daten zu identifizieren - falls notwendig diese der CNPD mitzuteilen - die Verarbeitung sicher zu gestalten (Art. 22 des Gesetzes) - nicht erlaubte Verarbeitungen zu stoppen oder um eine Genehmigung ansuchen. (Schreiben Sie eine Leitlinie zur Einhaltung von Vorgaben - Schutz der personenbezogenen Daten und sorgen Sie für deren Umsetzung)

Ungültige oder fehlende Lizenz

Das Gesetz vom 18. April 2004 über Urheberrechte, verwandte Schutzrechte, Datenbanken und Patente deckt auch Computer-Programme und Datenbanken ab. Um ein Programm rechtens verwenden zu können, muss die Lizenz zusammen mit einer Endnutzerlizenz ausgeliefert werden. Diese Lizenz muss für den Zeitraum der Verwendung gültig sein. Es gibt verschiedene Arten der Lizenz: pro Maschine, globale, Leasing, freie ...

Man muss also:
- eine Überprüfung der Software-Lizenz der Organisation durchführen - eine Bedarfsbewertung bezüglich der Software-Lizenzen der Organisation durchführen - eine Bestandsaufnahme aller Software-Programme (mit ihren Versionen) machen - neue Lizenzen erwerben oder Programme mit fehlender oder fehlerhafter Lizenz deinstallieren
- eine Leitlinie zur Beschränkung der pro Posten installierten Software erstellen - Datenträger, welche die Software enthält, sichern (z.B in einem verschlossenen Schrank) - die Installation von neuer Software muss durch Administratoren ausgeführt werden. (Schreiben Sie eine Leitlinie zur Einhaltung von Vorgaben - Geistiges Eigentum und sorgen Sie für deren Umsetzung).

Mangelnde Rückverfolgbarkeit von Operationen

Eine Organisation kann per Gesetz oder durch Partner gezwungen werden, seine Handlungen zu bestätigen oder zu dementieren. Dies gilt vor allem für die Kommunikation per E-Mail oder Kommunikationen, aus denen man ein geschäftliche oder rechtliche Verbindlichkeit ableiten kann (E-Business-Transaktionen, Bankenaufträge...).

Daher:
- Sichern Sie E-Mails mit Entscheidungscharakter ab - führen Sie eine Liste von Aktivitäten und Dienstleistungen mit Governance und/oder Geschäftsrelevanz
- Erstellen Sie eine Leitlinie zur Sicherung dieser Transaktionen und speichern Sie sie in einer Datenbank ab (jedoch in Übereinstimmung mit den Datenschutzgesetzen)

Vorschriftsmäßige Anforderungen

Je nach Art ihrer Tätigkeiten, muss sich eine Organisation für sie spezifischen Gesetzen oder Regelwerken unterwerfen. Beispiel der Verordnungen:

  • Sarbanes-Oaxley

  • HIPAA

  • Basel II

  • Schengen

Man muss also

  • die Vorschriften kennen und befolgen und so die Organisation in Übereinstimmung mit diesen Vorschriften bringen

Schreiben Sie eine Leitlinie zur Einhaltung von Vorgaben - Identifikation der anwendbaren Gesetze und geistiges Eigentum und Schutz operativer Daten der Schutz personenbezogener Daten und sorgen Sie für deren Umsetzung.