Vergabe- und IT-Compliance

Gemeinsam gestalten
  1. Home
  2. Leistungen
  3. Vergabe- und IT-Compliance

Mit IT-Compliance die IT-Landschaft rechtssicher gestalten

IT-Compliance beinhaltet in der Organisationsführung die Einhaltung und das Management gesetzlicher, interner und vertraglicher Regelungen im Bereich der IT. Sie ist in einem engen Zusammenhang mit der IT-Governance zu betrachten, sodass die IT-Compliance selbst um die Bereiche Controlling, Geschäftsprozesse und Management erweitert wird. Aus Sicht der Infora ist nicht nur IT-Governance, sondern auch die IT-Beschaffung ein wesentlicher Bestandteil der IT-Compliance von Organisationen. Zugehörige Gsetze, regulatorische Anforderungen sowie Richtlinien rund um die IT-Systeme, den Datenschutz und IT-Security müssen rechts- und revisionssicher berücksichtigt werden. Nur so lassen sich Verzögerungen in strategisch wichtigen IT-Prozessen vermeiden.

IT-Compliance durch organisationsübergreifende Standards

Standards für die IT-Compliance müssen alle Organisationen in öffentlichen und privaten Sektoren beachten. Die Anforderungen an die IT, IT-Systeme und Prozesse variieren stark. Die strengsten Compliance-Regeln gelten für kritische Infrastrukturen (KRITIS). Hierzu zählen auch der Staat und die Verwaltung. Die Leitungsebene verpflichtet sich dementsprechend, die Richtlinien innerhalb der Behörde zu überwachen. Oft ist es so, dass diese Verantwortung an die jeweiligen IT-Abteilungen delegiert wird. Welche Gesetze und Standards beachtet werden müssen, ist jedoch nur schwer zu identifizieren und verlangt nicht selten juristisches sowie technisches Fachwissen. Die Experten der Infora unterstützen proaktiv bei der Erarbeitung und Implementierung der eigenen Compliance-Richtlinien und Anforderungen.

Unsere Leistungen im Bereich IT-Compliance

Risikoorientiertes Datenschutzkonzept

Einsatz / Bestellung von Datenschutzbeauftragten

Beratung Datenschutzsysteme

Risikobewertung und Projektmanagement

Beratung bei Beschaffungsmaßnahmen

IT-Compliance mit INFORA

Gerne unterstützen wir Sie bei Ihren Fragen im Bereich IT-Compliance. Wir freuen uns auf Ihre Nachricht!

Aktuelle Gesetze und Richtlinien

IT-Compliance-Richtlinien und Gesetze

IT-Compliance stellt gerade für den öffentlichen Sektor eine besondere Herausforderung dar. Nicht nur die unterschiedlichen Verordnungsgeber in EU, Bund und Land sind dafür ausschlaggebend. Ergänzend dazu sind Vorschriften zu beachten, die ausschließlich auf bestimmte Segmente der öffentlichen Verwaltung anzuwenden sind. Zu den standardisierten Vorgaben gehören mittlerweile unter anderem:

  • EU-Datenschutzgrundverordnung (EU-DSGVO)
  • IT-Sicherheitsgesetz
  • Bundesschutzgesetz
  • Telekommunikation-Telemedien-Datenschutz-Gesetz

Datenschutzrechliche Ansprüche im öffentlichen Sektor

Im öffentlichen Sektor sind fallweise auch datenschutzrechtliche Anforderungen zu realisieren. Dazu gehören z. B.:
• Landesdatenschutzgesetzen
• Sozialgesetzbuch I und Sozialgesetzbuch X sowie spezielle Vorschriften z. B. aus SGB V und SGB VIII
• Bundespolizeigesetz und eIDAS-Verordnung
• Zentrale Dienstvorschrift A-2122/4

Vorschriften, Verordnungen und Gesetze zur IT-Sicherheit

Darüber hinaus gibt es ergänzende Vorschriften der Informationssicherheit, die zu beachten sind. Auch finden sich in den EGov-Gesetzen von Bund und Ländern sowie im Onlinezugangsgesetz weitere Anforderungen zu Datenschutz und Informationssicherheit.

• BSI-Gesetz und KRITIS-Verordnung
• Gesetz zum Schutz von Geschäftsgeheimnissen
• Verschlusssachenanweisung und Sicherheitsüberprüfungsgesetz
• Landesrechtliche Vorschriften wie das Niedersächsische Gesetz über digitale Verwaltung und Informationssicherheit
• Zentrale Dienstvorschrift A -960/1

Gesetze zur Abwägung zwischen Informationsfreiheit und Datenschutz

Ausschließlich für den öffentlichen Sektor ergeben sich Vorgaben in der Abwägung zwischen Informationsfreiheit und Datenschutz aus:
• Informationsfreiheitsgesetz
• Umweltinformationsgesetz
• Verbraucherinformationsgesetz

EU-Richtlinien und Verordnungen zur IT-Compliance

Neben diesen Richtlinien müssen Organisationen im Rahmen der IT-Compliance die weiteren Aktivitäten des EU-Verordnungsgebers verfolgen. Nur dadurch können neue Anforderungen für den öffentlichen Sektor frühzeitig erkannt und durch Umsetzungsprojekte implementiert werden.

  • Digital Services Act
  • Data Governance Act
  • Artificial Intelligence Act
  • E-Evidence-Verordnung
  • E-Privacy-Verordnung

Unsere Leistungen für IT-Compliance

Wir begleiten Sie bei der Einführung passgenauer IT-Organisationsprozesse, der IT-Konsolidierung sowie der Umsetzung präzise definierter IT-Compliance-Prozesse. Profitieren Sie von einem ganzheitlichen Ansatz, der darauf basiert, dass Vergabe und Vertrag, Anforderungen und EVB-IT sowie Datenschutz und Informationssicherheit zusammengehören.

Datenschutzkonzept

Erstellung eines risikoorientierten Datenschutzkonzepts mit Ableitung von Datenschutzfolgenabschätzung

Datenschutzkonzepte und Datenschutzfolgenabschätzungen nach Art. 35 DSGVO / § 67 BDSG sind wichtige Bausteine, um den Vorgaben eines risikobasierten Datenschutzmanagementsystems zu genügen. Dabei sollen technisch-organisatorische Maßnahmen (TOM) sicherstellen, dass im Rahmen einer Datenverarbeitung die Rechte und Freiheiten natürlicher Personen angemessen geschützt werden.

Auf der Basis von eigenen Erfahrungen sowie unter Einbeziehung des Standard-Datenschutzmodells und der Working Papers des European Data Protection Board (EDPB) haben wir ein spezifisches Vorgehensmodell weiterentwickelt. In Abhängigkeit Ihrer Policy können wir den gesamten Workflow vom Design Review über das Datenschutzkonzept bis zur kontinuierlichen Datenschutzfolgenabschätzung (PIA) skalierbar abbilden.

Datenschutzbeauftragte

Externe Datenschutzbeauftragte und Datenschutzmanager für öffentliche Einrichtungen und Behörden

 

Öffentliche Stellen müssen unabhängig von ihrer Größe gem. Art. 37 DSGVO Datenschutzbeauftragte bestellen. Oft ist es darüber hinaus ratsam, Datenschutzkoordinatoren bzw. Datenschutzmanager zu benennen.  Durch zum Beispiel Vorschriften des Sozialdatenschutzes oder der umgesetzten Richtlinie EU 2016/680 (JIRL), besitzen Datenschutzverpflichtungen und Datenschutzsysteme von öffentlichen Stellen häufig zusätzliche Spezifika.

Wir unterstützen Sie mit der Bestellung externer Datenschutzbeauftragten und mit dem Einsatz spezialisierter Datenschutzmanager. Insbesondere Datenschutzmanager stellen wir vor allem temporär bei der Implementierung der erforderlichen Systeme auf Wunsch zur Verfügung. Diese Leistungen werden durch hierfür speziell ausgebildete Berater erbracht. Die so gestellten Datenschutzbeauftragten und Datenschutzmanager unterliegen einer ständigen Weiterbildungsverpflichtung. Die externen Datenschutzbeauftragten, bzw. Datenschutzmanager stehen, zumeist über ihre Bestellung hinaus, auch als Lehrbeauftragte bei der Aus- und Weiterbildung behördlicher und administrativer Datenschutzbeauftragter im stetigen Praxisaustausch.

Datenschutzsysteme

Integrierter Beratungsansatz für Datenschutz- und Informationssicherheitsmanagementsysteme

 

Datenschutz und Informationssicherheit sind tragende Säulen jedes IT-Compliance-Systems. Zwischen diesen beiden Ansätzen ergeben sich umfassende Synergien: Beide folgen einem PDCA-Zyklus und auch im Bezug zur IT-Sicherheit bestehen Übereinstimmungen. Die Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates (ISLL-Bund) verpflichtet die Verwaltungen des Bundes und der Länder zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Die Grundlage dazu bildet der IT-Grundschutz oder ISO-Normen der 2700x-Reihe. Mit der Entscheidung 2020/06 des IT-Planungsrats vom März 2020 wird zusätzlich empfohlen, das Standard-Datenschutzmodells (SDM) bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen als Datenschutzmanagementsystem anzuwenden.

Wir unterstützen Sie mit einem integrierten Vorgehensmodell bei der Implementierung der erforderlichen Systeme, dessen Beratungsansatz die methodische Parallelität des Standard-Datenschutzmodells mit dem BSI-Grundschutz und der ISO 2700x-Reihe nutzt und dabei auf Wunsch Messmöglichkeiten des Reifegrades implementieren kann. Dabei ist, in Abhängigkeit Ihrer Wünsche und Ressourcen, eine hohe Skalierbarkeit unter gleichzeitiger Absicherung essentieller, gesetzlicher Vorgaben möglich. Gleiches gilt für eine prozessbegleitende Implementierung im Umfeld von z. B. E-Akte-Einführungen, FMS-Projekten oder OZG-Vorhaben bis zur kontinuierlichen Datenschutzfolgenabschätzung (PIA).

Risikobewertung

Risikobewertung und juristisches Projektmanagement bei E-Akte, Outsourcing und Innovationen

 

Die für öffentliche Stellen mittlerweile unverzichtbare Nutzung von Informationstechnologien bringt erhebliche Vorteile mit sich, setzt diese aber auch erheblichen Risiken aus. Dementsprechend ist es für eine Organisation unverzichtbar, anfänglich und kontinuierlich Risikomanagement zu betreiben. Ansätze wie IoT, Blockchain, Künstliche Intelligenz oder Big-Data-Technologien ermöglichen neue Anwendungsfelder bei der Digitalisierung der öffentlichen Verwaltung. Sie erzeugen aber mit ihrem Einsatz oft auch neue Herausforderungen bei der Ausgestaltung der rechtlichen Zulässigkeit und der Gewährleistung der IT-Sicherheit.

Wir unterstützen Sie mit der Bildung von interdisziplinären Expertenteams, um unter Anwendung von Methoden wie Management of Risk (M_o_R®) oder Rapid Legal Assessment Tool (RLAT) Risikomanagement und Bewältigungsstrategien zu erarbeiten, die sich an den jeweiligen Lebensphasen orientieren. Ergänzend können diese Prozesse mit Wirtschaftlichkeitsbetrachtungen nach Fachkonzept WiBe (5.0), mit speziellen Vergabeformen wie wettbewerblicher Dialog oder Innovationswettbewerb oder auch nach der Verordnung PR N. 30/53 begleitet werden.

Beschaffung

Beratung und Unterstützung im Umfeld von Beschaffungsmaßnahmen

Die Beschaffung von Informations- und Kommunikationstechnologie können sowohl die öffentlichen Auftraggeber wie auch die Bieterseite vor besondere Herausforderungen stellen. Neben den vielfach komplexen technischen, fachlichen und organisatorischen Fragestellungen sind auch das geltende Vergaberecht und die zu spezifizierenden EVB-IT zu beachten. Ein effektives und zugleich rechtsicheres Vergabeverfahren bedarf daher einer sorgfältigen Verfahrensvorbereitung und -durchführung.

Wir unterstützen Sie nach einem etablierten Vorgehensmodell, dass sich an den geltenden Vorgaben und Gesetzen wie VgV, VSVgV und UVgO sowie den Empfehlungen der UfAB orientiert. Das Vorgehensmodell wird kontinuierlich durch die umfassenden Erfahrungswerte aus der Begleitung in entsprechenden Projekten verbessert. Zur projektinternen Kommunikation wird der interdisziplinäre Beratungsansatz eingesetzt, um die Anforderungen der verschiedenen Disziplinen optimal zu adressieren und den Informationsfluss zu steuern.

Ihre Experten für IT-Compliance

Sie haben Fragen oder benötigen Unterstützung im Bereich Vergabe und IT-Compliance? Unser Team ist gerne für Sie da!

Ein Projekt aus der Praxis – Kassenärztliche Vereinigung Baden-Württemberg

Ausgangslange

Die Änderungen der Regelungen im Datenschutzrecht führen dazu, dass die Auswirkungen auf die Prozesse der kassenärztlichen Vereinigung Baden-Württemberg analysiert werden müssen.

Aufgabe der Infora

Infora unterstützt den Kunden bei der DSGVO und Implementierung eines Datenschutzmanagementsystems.

Projektphasen (Auswahl):

  • Beratung der Projektleitung und Analyse des Projektplans
  • Erstellung eines Schulungskonzeptes für Datenschutzkoordinatoren und Schulungsdurchführung
  • Unterstützung des internen Projektmanagements in den kritischen Phasen des Projekts
  • Beratung zur angemessenen Umsetzung der technischen und organisatorischen Maßnahmen

Methoden:

  • EU-DSGVO
  • Datenschutz-Anpassungs- und -Umsetzungsgesetz EU
  • Landesdatenschutzgesetz BW-E
  • Standard-Datenschutzmodell
  • BSI-CS_013
  • ISACA-Prüfungsstandards Szenario-Analyse

Kontakt

Ansprechpartner IT-Compliance

Infora GmbH
Joachim Bieniak