Datensicherheit bei der Softwareeinführung: Diese Kriterien muss Software erfüllen
Expertin Baubranche
25.8.2023
"Ich bin der festen Überzeugung, nur mit digitaler Technik können wir die Zukunft der Wertschöpfungsketten in der Bauindustrie sicherstellen."
Gratis Checkliste zum Ausdrucken
Laden SIe sich Ihre gratis Checkliste zur Softwareeinführung herunter.
Capmo für GeschäftsführerVon Bauprojektmanagement-Software bis hin zu digitalen Zeiterfassungssystemen werden in der Baubranche die verschiedensten Arten von IT-Systemen verwendet. Wenn diese Systeme personenbezogene Daten verarbeiten, müssen die Datenschutzbestimmungen gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union eingehalten werden, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten sicherzustellen. Wenn Sie nun eine neue Software in Ihrem Unternehmen einführen möchten, dann spielt Ihre IT-Abteilung eine zentrale Rolle. Schließlich ist sie für die Umsetzung und die Gewährleistung der Datenschutzanforderungen verantwortlich. Damit Sie die Softwareeinführung auch erfolgreich meistern, zeigen wir Ihnen in diesem Artikel, auf welche Anforderungen Sie achten sollten.
Definition: Was ist Datensicherheit?
Datensicherheit bedeutet, dass alle möglichen Daten sicher und vor unbefugtem Zugriff geschützt werden. Dafür werden sowohl organisatorische als auch technische Maßnahmen ergriffen, um die unbefugte Weitergabe, Speicherung, Zerstörung und Veränderung von Daten zu verhindern. Dabei verfolgt die Datensicherheit drei wichtige Ziele:
- Vertraulichkeit: Nur autorisierte Personen haben Zugriff auf die Daten.
- Integrität: Die Daten bleiben unverändert und vor technischen Fehlern geschützt.
- Verfügbarkeit: Die Daten können bei Bedarf genutzt werden.
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Bei der Datensicherheit geht es vor allem um den technischen Schutz von Daten im Allgemeinen, während der Datenschutz sich speziell auf den Schutz von personenbezogenen Daten konzentriert. Der Datenschutz achtet zusätzlich darauf, dass die Erhebung, Verarbeitung und Weitergabe der personenbezogenen Daten eingeschränkt wird, um die Privatsphäre der betroffenen Personen zu schützen.
Neue Software einführen: Diese Kriterien muss Software erfüllen
DSGVO-konform
Als erstes sollten Sie unbedingt auf die eben erwähnte DSGVO achten – insbesondere die Grundsätze gemäß Artikel 5. Sie legen fest, wie Daten in Europa gehandhabt werden und wer zum Beispiel von wem wann welche Daten speichern darf.
Zu den personenbezogenen Daten zählen dabei alle Informationen, die Ihnen individuell zugeordnet werden können. Das können direkte Informationen wie zum Beispiel Ihr Name, Ihre Anschrift, Ihre Telefonnummer, Ihre E-Mail-Adresse oder Ihre Zahlungsinformationen sein, aber auch Daten, über die man Sie indirekt identifizieren kann. Dazu zählen beispielsweise Ihre Kundennummer oder Ihre IP-Adresse.
Wenn Sie eine neue Software in Ihrem Unternehmen einführen, sollten Sie sicherstellen, dass die Verarbeitung personenbezogener Daten von der Software oder dem Softwarehersteller rechtmäßig, transparent und sicher erfolgt. Um das zu prüfen, können Sie beispielsweise einen Blick auf die Datenschutzerklärung des Softwareanbieters werfen oder sich direkt an den Datenschutzbeauftragten des Softwareunternehmens wenden.
Europäischer Serverstandort
Aus Datenschutz-Sicht sollten Sie sich darüber informieren, ob die Datenverarbeitung Ihrer neuen Software in der Europäischen Union oder dem Europäischen Wirtschaftsraum (EWR) erfolgt. Befindet sich der Server nämlich innerhalb der EU oder des EWRs, werden die personenbezogenen Daten entsprechend der strengen Datenschutzvorschriften der EU gespeichert und verarbeitet. So wird sichergestellt, dass die Daten gemäß der DSGVO geschützt werden.
Ein europäischer Serverstandort bietet auch Vorteile in Bezug auf die Datenübertragungsgeschwindigkeit und -stabilität, da die Daten näher an Ihren Standorten verarbeitet werden. Dies kann die Leistung Ihrer Software verbessern und eine reibungslose Nutzung ermöglichen.
C5-konform
C5 steht für Cloud Computing Compliance Controls Catalogue und ist ein Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland. Es handelt sich dabei um einen Katalog von Sicherheitsanforderungen, der Unternehmen dabei hilft, Cloud-Service-Anbieter zu bewerten und auszuwählen.
Bei der Einführung neuer Software, insbesondere von Cloud-basierten Lösungen, ist die Einhaltung des C5-Standards von großer Bedeutung. Durch die Verwendung von C5-zertifizierter Software stellen Sie sicher, dass Ihre Daten in der Cloud richtig und datenschutzkonform behandelt werden und vor unbefugtem Zugriff geschützt sind. Um herauszufinden, ob die Software den C5-Standards entspricht, gilt das Gleiche wie bei der DSGVO: Checken Sie die Datenschutzerklärung oder wenden Sie sich an den Datenschutzbeauftragten des Unternehmens.
ISO-zertifiziert
Die ISO-Zertifizierung im Datenschutz bestätigt, dass die Anforderungen der internationalen Normen der International Organization for Standardization (ISO) eingehalten werden. Die ISO/IEC 27001 ist dabei die weltweit führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie hilft Unternehmen, Sicherheitsrisiken zu identifizieren, zu bewerten und entsprechende Kontrollen einzuführen, um Ihre Daten vor möglichen Gefahren zu schützen.
Wenn Sie eine neue Software in Ihrem Unternehmen einführen, stellen Sie mit der ISO 27001-Zertifizierung sicher, dass Ihre Daten angemessen geschützt werden. Außerdem minimieren Sie das Risiko von Datenlecks, unbefugtem Zugriff auf sensible Informationen und anderen Cyber-Bedrohungen.
Capmo-Tipp: Wir bei Capmo begleiten täglich Bauunternehmen bei der Softwareeinführung. Deshalb wissen wir, was wirklich klappt und wie die Softwareeinführung reibungslos funktioniert. In unserem kostenlosen eBook erfahren Sie, wie Sie die Softwareeinführung erfolgreich meistern.
Diese Dokumente benötigt Ihre IT-Abteilung
Damit die Einführung schnell, reibungslos und datenschutzkonform abläuft, sollten Sie Ihren Softwareanbieter nach diesen Dokumenten fragen, um sie Ihrer IT-Abteilung vorlegen zu können.
Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
Werden personenbezogene Daten verarbeitet, muss sichergestellt werden, dass diese Daten auch geschützt sind. Die Dokumentation der technischen und organisatorischen Maßnahmen (TOM) spielt hierbei eine wichtige Rolle, wenn Sie eine neue Software in Ihrem Unternehmen einführen. Sie beschreibt, welche technischen und organisatorischen Maßnahmen ergriffen werden, um die Verarbeitung personenbezogener Daten datenschutzkonform umzusetzen.
Die technischen Maßnahmen umfassen die technischen Schritte und Sicherheitsvorkehrungen, um Ihre Daten sicher zu verarbeiten. Dazu gehören beispielsweise Verschlüsselungstechniken, Passwortschutz, Zugriffskontrollen und regelmäßige Datensicherungen.
Die organisatorischen Maßnahmen regeln, wie Ihre Daten auf einer organisatorischen Ebene geschützt werden. Dazu gehört, dass klare Verantwortlichkeiten für den Datenschutz und die Datensicherheit im Unternehmen festgelegt werden. Es werden außerdem interne Richtlinien und Prozesse erstellt, um den Umgang mit sensiblen Daten zu regeln. Dazu zählen auch Mitarbeiterschulungen, um ein Bewusstsein für den Datenschutz zu schaffen.
Achten Sie deshalb auf die angemessene Dokumentation und Einhaltung der technischen und organisatorischen Maßnahmen, damit Sie sicherstellen können, dass die von Ihnen gewählte Software den höchsten Standards für Datenschutz und Datensicherheit entspricht.
Auftragsverarbeitungsvertrag (AVV)
Ein Auftragsverarbeitungsvertrag (AVV) ist laut §28 DSGVO ein Vertrag zwischen Ihnen (Verantwortlicher) und dem Softwareanbieter (Auftragsverarbeiter). Er legt die Regeln und Verpflichtungen fest, die der Softwareanbieter einhalten muss, um sicherzustellen, dass Ihre Daten geschützt und gemäß den Datenschutzvorschriften verarbeitet werden. Durch den AVV stellen Sie sicher, dass Ihre Daten auch bei der Weitergabe an Dritte sicher und vertraulich behandelt werden.
Achten Sie darauf, dass der AVV unterschrieben werden muss, bevor der erste Datentransfer erfolgt. Aber keine Sorge: Den AVV müssen Sie nicht ausdrucken, unterschreiben und per Post verschicken, sondern Sie können ihn auch auf elektronischem Wege abschließen.
Dokument zur Datenübermittlung
Innerhalb der EU bzw. des Europäischen Wirtschaftsraumes sind Datenübermittlungen durch die einheitlichen Datenschutzregelungen meist unkompliziert. Doch wenn personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums – also in sogenannte Drittländer – übertragen werden sollen, gelten zusätzliche Anforderungen. Die Artikel 44-49 der Datenschutz-Grundverordnung (DSGVO) enthalten genaue Vorgaben und Normen für solche Übermittlungen in Drittländer.
Kurz gesagt heißt das, dass bei der Einführung einer neuen Software geprüft werden muss, ob personenbezogene Daten in ein Drittland übermittelt werden und ob diese Übermittlung rechtlich zulässig ist.
Softwareeinführung leicht gemacht: So klappt's
Wenn eine Software ISO-zertifiziert, C5 und DSGVO-konform handelt und Sie die aufgezählten Dokumente Ihrer IT-Abteilung vorlegen können, dann steht der Softwareeinführung nichts mehr im Wege. Ob am Ende alle rechtlichen Anforderungen erfüllt werden, sollten Sie natürlich in Abstimmung mit dem Datenschutzbeauftragten und der IT prüfen.
Möchten Sie mehr über die Einführung einer neuen Software erfahren? Dann laden Sie sich unser kostenloses eBook herunter. Hier erfahren Sie, wie Sie die richtige Software für Ihr Unternehmen finden, wie Sie Ihre Mitarbeiter an Bord holen und wie Ihnen die Softwareeinführung erfolgreich gelingt.
Das Wichtigste in Kürze:
- Möchten Sie eine neue Software in Ihrem Unternehmen einführen, dann spielt Ihre IT-Abteilung eine zentrale Rolle, da sie für die Umsetzung und die Gewährleistung der Datenschutzanforderungen verantwortlich ist.
- Wenn eine Software ISO-zertifiziert, C5- und DSGVO-konform handelt, dann steht der Softwareeinführung nichts mehr im Wege.
- Damit die Einführung schnell, reibungslos und datenschutzkonform abläuft, sollten Sie Ihren Softwareanbieter nach einem Auftragsverarbeitungsvertrag, einem Dokument zur Datenübermittlung nach der Dokumentation der technischen und organisatorischen Maßnahmen fragen. Diese können Sie Ihrer IT-Abteilung vorlegen.
Bleiben Sie auf dem neuesten Stand!
Die wichtigsten Bau- und Immobiliennews versenden wir monatlich direkt in Ihr Postfach!
Starten Sie jetzt Ihre Bauprozesse zu optimieren!
Mit Capmo arbeiten Sie effizienter denn je! Mit der Investition in die Bausoftware arbeiten Sie langfristig erfolgreich und schützen und erhöhen Ihre Margen! Starten Sie jetzt Ihren kostenlosen 14-Tage Test und überzeugen Sie sich selbst – kostenlos, unverbindlich und mit allen Funktionen.
Jetzt Capmo testen