Angebot

Je nach Industrie, Grösse des Unternehmens und den Ländern, in welche sich seine Tätigkeiten ereignen oder eine Wirkung erzeugen, muss ein Unternehmen unterschiedlichste rechtliche Anforderungen berücksichtigen. Ein Risiko-basiertes Vorgehen schafft hierbei Erleichterung für Unternehmen.

Mit der Einführung eines Compliance Management System (CMS) entscheidet sich ein Unternehmen für ein systematisches Vorgehen, sämtliche rechtlichen Vorgaben zu managen. Zu einem CMS gehört üblicherweise:

• Erfassen und klassifizieren der rechtlichen Risiken
• Definition des Risikoappetits des Verwaltungsrats
• Einführen von Verhaltenskodex, Richtlinien und Prozessen
• Weiterbildung der Aufsichtsorgane, des Kaders und der betroffenen Mitarbeiter
• Anpassen von Verträgen
• Einführung eines Überprüfungsprozesses für Geschäftspartner
• Erstellen einer unabhängigen Stelle für das Melden von Fehlverhalten
• Bereitschaft Fehlverhalten zu untersuchen und Massnahmen einzuführen
• Messbares Evaluieren der Effektivität des CMS

Wir können für Ihr Unternehmen ein CMS aufbauen oder Sie bei den einzelnen Bereichen unterstützen. Gerne sind wir auch eine unabhängige Anlaufstelle für das Melden von Fehlverhalten. Mit unserem Wissen können wir rechtlich privilegierte, vertrauliche und unabhängige Untersuchungen sicherstellen. 

Technologieunternehmen liessen sich die Rechte an den Daten übertragen im Gegenzug für eine «gratis» Dienstleistung. Die so erlangten Daten haben allerdings viel mehr wert als die «gratis» Dienstleistung. Der schärfere Datenschutz verlangt, dass Bürger grundsätzlich Eigentümer ihrer Daten bleiben sollten. Bei Abtretungen irgendwelcher Rechte, soll der Bürger Entscheidungen nur basierend auf verständlicher und vollumfänglicher Anleitung treffen.

Ein Unternehmen sollte den Schritt in die Digitalisierung unter Berücksichtigung datenschutzrechtlicher Ansprüche machen. Privacy by Design und Privacy by Default sollten Digitalisierungsberatern geläufig sein. 

Privacy by Design
Idealerweise kennen Programmierer die datenschutzrechtlichen Vorschriften und gestalten die neuen Techniken so, dass sich der Datenschutz darin implementieren lässt.

Privacy by Default
Die Voreinstellungen von Anwendungen - beispielsweise die Erhebung von Daten von Webseitenbesuchern - sollten so eingestellt sein, dass sie datenschutzfreundlich sind.

Das Verarbeiten privater Daten braucht eine Einwilligung des Eigentümers der Daten oder eine rechtliche Grundlage welche diese Art von Datenverarbeitung erlaubt. Gerne unterstützen wir sie als Projekt Steering Committee Mitglied bei Digitalisierungsprojekten oder übernehmen die Aufgabe als ihr externer Datenschutzbeauftragter. 

Wir unterstützen Sie bei der Einführung eines Data Privacy Frameworks aber auch bei den dazugehörigen einzelnen Pfeilern, wie: 

• Risikoübersicht, welchen rechtlichen Anforderungen das Unternehmen genügen muss
• Einführung von Datenschutz Richtlinien und Prozessen 
• Unternehmenskarte mit datenschutzrelevanten Daten 
• Schulung von Führungskräften und Mitarbeitern
• Legitimierung von Datenübertragungen an Geschäftspartner  
• Einführung von Massnahmen welche die Übertragung von Daten an Geschäftspartner legitimieren
• Managen von Datenschutzverletzungen bei Ihnen oder bei Geschäftspartnern 
  (Reaktion, Meldepflichten und Untersuchungen, Kommunikationsplan) 
• Vertretung vor den Behörden und bei rechtlichen Prozessen

Ein sehr wichtiger Pfeiler ist weiter, die rechtliche Anforderung an jedes Unternehmen, alle technischen und organisatorischen Massnahmen eingeführt zu haben, damit personenbezogene Daten geschützt sind. Die hierfür erforderlichen Kenntnisse im Bereich Cyber Security sind im Angebot Cyber Security detailiert dargestellt.  

Der Schutz von Netzwerken ist wie eine Schwester des Datenschutzes. Es gibt kaum einen erfolgreichen Angriff auf ein Netzwerk, welcher nicht auch Datenschutzverletzungen zur Folge hat.

Die wachsende Oberfläche von Verknüpfungen zum Internet und die mangelnde internationale Zusammenarbeit, Kriminalität im Netz zu bekämpfen, exponieren Unternehmen. Angriffe von Hackern, von Internetkriminellen und selbst von Staaten können mit nur einem Fehlklick von nur einem Mitarbeiter lanciert werden.

Haben Sie berechnet, welche Netzwerke Sie wie lange entbehren können bis ihr Unternehmen die Aktivitäten einstellen muss? Befolgen Sie die 3-2-1 Regelung und speichern daten 3-mal, an 2 verschiedenen Orten und 1 Kopie offline?

Richtig vorbereitet ist nur, wer regelmässig eine «Feuerwehrübung» durchführt. Die Wahrscheinlichkeit, dass es bei Ihnen im Büro brennt ist viel geringer als die Wahrscheinlichkeit, dass sie gehackt werden. Haben Sie schon eine Feuerwehrübung durchgeführt? Haben Sie bereits einen Netzangriff simuliert? Wenn Sie keinen Zugang mehr auf Ihre Daten haben, wie und mit welchem Inhalt informieren Sie all Ihre Kunden? Haben Sie die Nummer von Ihrem IT Support zur Hand? Welche Behörden könnte Ihnen helfen und welche Behörden müssen Sie informieren? 

Neben geläufigen "penetration-Tests", sind die Bestandteile eines Informationsmanagement Systems zum Managen von Risiken im neuen Informationszeitalter: 

• Risikoassessment: welche Cyber Sicherheitsrisiken sind Geschäftsrisiken (wie lange kann das Unternehmen ohne dieses oder jenes System auskommen)
• Rechtsanforderungen an Ihr Unternehmen
• Evaluation vom Risikoappetit des Verwaltunsrates
• Verantwortlichkeit- und Schnittstellenklärung
• Weiterbildungsplanung der Aufsicht, des Kaders und der betroffenen Mitarbeiter
• Informationssicherheitsrichtlinien und Prozesse 
• Identifikation von Systemen, Anlagen, Geräte, Zugängen
• Managen von Software
• Managen von schützender Hard- und Software
• Gehackt -  was nun? Krisenmanagementplan und Übungen
• Rechtliche Konsequenzen evaluieren und abwenden
• Cyber Versicherung 

Cyber Sicherheitsmanagement reduziert zahlreiche behördliche, Rechts- und Prozessrisiken. Ihr Unternehmen kann sich auf das Kerngeschäft  konzentrieren und eine gute Reputation wahren.