04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE
Objektbezogene Datensicherheit

Objektbezogene Datensicherheit, Daten- und Geheimschutz

Über alle dienstlichen Obliegenheiten ist grundsätzlich gegenüber jedermann Stillschweigen zu bewahren.

Dies gilt nicht, wenn es sich um Obliegenheiten handelt, die im Zusammenhang mit der Dienstdurchführung stehen, für diese notwendig sind und mit dem Dienst beauftragte Personen des eigenen Unternehmens, des Auftraggebers bzw. zuständiger Behörden und Dienststellen stehen, also zur dienstbezogenen üblichen Kommunikation gehören.

Bei Unsicherheiten, die trotz regelmäßigen Trainings und Schulungen vorhanden sein können, ist vor der Durchführung von Maßnahmen die vorgesetzte Stelle zu kontaktieren.

Im Übrigen sind die Festlegungen der Geheimhaltungsvereinbarung des Unternehmens bzw. des Dienstvertrages zu kennen und einzuhalten.

Meldung bei der Störung von IT, Verfahren zur praktischen Anwendung

Ausfälle der Informations- und Kommunikationstechnik können je nach Unternehmensbranche ganz allgemein gravierende oder gar existenzbedrohende Schäden haben. Das trifft auch für die Sicherheit zu und dort ganz besonders, wenn es um Störungen ineinandergreifender Lieferketten und Geschäftsprozesse geht. Es ist also auch eine Aufgabe des Wach- und Servicepersonals, im Zusammenhang mit solchen Störungen tätig zu sein, diese rechtzeitig zu erkennen bzw. zur Vermeidung beizutragen. Abgesehen von technischen Ursachen (Hardware- oder Softwarefehler, Unterbrechung der Stromversorgung usw.) geht es im Sicherheitsgewerbe vor allem um die Erkennung bzw. Vermeidung von Sabotageakten, im Zusammenwirken mit dem IT-Bereich um Hackerangriffe und andere kriminelle Einwirkungen.

Wegen der Vielfalt derartige Störungsmöglichkeiten ist es notwendig, diese Störungen konkret zu differenzieren und diejenigen zu benennen, für die der Bereich Security vorrangig bzw. nachrangig mitwirkend tätig ist. Es geht also schlichtweg um eine Liste, die beinhaltet, welche Störungen wann und an wen zu melden sind.

Verpflichtung zur Meldung von IT-Störungen

Vielfach ist in den Unternehmen sichergestellt, dass technische Störungen im Rahmen der allgemeinen Betriebsführung zuverlässig erkannt werden. Oft erfolgt dies über eine GLT in Verbindung mit regelmäßigen Rundgängen und Kontrollen des Bedienungspersonals, aber auch durch Meldungen aus der Belegschaft. Idealerweise werden solche Meldungen auf dem Helpdesk zusammengeführt.

Damit werden auf dem Helpdesk auch Meldungen sichtbar, die möglicherweise über Angriffe Dritter mit kriminellem Hintergrund berichten. Das bedeutet, dass die Anforderungen an den Helpdesk selbst (Software) vorhanden sein müssen und das Helpdesk-Personal auch mit sicherheitsrelevanten Meldungen umgehen können muss. Dies hat sogar mitunter vorrangig zu erfolgen, denn wenn es um die Störung von IT-Systemen geht, sind die Auswirkungen meist erheblich.

Bezugnehmend auf die Überschrift dieses Abschnittes ist festzustellen, dass es für deutsche Unternehmen keine gesetzlich geregelte Verpflichtung gibt, IT-Störungen zu melden. Allein KRITIS-Betreiber müssen gemäß dem IT-Sicherheitsgesetz außergewöhnliche Störungen und Ausfälle an das BSI melden.

Definition der IT-Störungen

IT-Störungsart (Definition des BSI)

Erläuterung

gewöhnliche Störung

mit technischen und organisatorischen Maßnahmen nach dem heutigen technischen Standard abzuwehren ohne nennenswerte Probleme zu verursachen kein erhöhter Ressourcenaufwand nötig

außergewöhnliche Störung

nur mit erheblichem Ressourcenaufwand zu beheben (IT-Experten, Krisenstab usw.), also nicht mit den gängigen Techniken abwehrbar

Das Facility Management ist hierfür gemäß DIN EN 15221 ebenfalls zuständig und sollte deshalb gut informierte darüber sein, wie die Handhabung von IT-Störungsmeldungen im Unternehmen geregelt ist. Grundsätzlich besteht seitens des Staates der Wunsch, dass mithilfe des Meldeformulars des BSI auch Betroffene von IT-Störungen, die nicht zur Meldung verpflichtet sind, ihre Meldungen im Interesse der Allgemeinheit machen. Solche freiwilligen Meldungen können anonym durchgeführt werden.

Datenschutzbeauftragte, Regelwerksverfolgung, Dokumentationsrichtlinien, Meldeordnungen und andere im Zusammenhang mit Störungen und deren Dokumentation betriebliche Einrichtungen und Organisationsformen sollten ganzheitlich für das Unternehmen wirken.

Betrachtet man sich die Verträge, die mit Sicherheitsunternehmen abgeschlossen werden, vermisst man häufig an den entsprechenden Schnittstellen die Einbindung in oben genannte Unternehmensorganisationen. Es ist also nicht ausreichend, einen separaten und im Übrigen völlig losgelösten Sicherheitsvertrag - sozusagen nebenher laufen zu haben. Die folgende Checkliste könnte helfen, eine solche Situation zu verbessern.

Beispiel einer Checkliste bzgl. Sicherheit bei IT-Störungen

Was?

Wie?

Vermerke

Datenschutz

Benennen Sie einen Datenschutzbeauftragten, falls erforderlich.

 

Regeln

Stellen Sie die geltenden Regeln fest (Regelwerksverfolgung).

 

Daten

Passen Sie alle Datenschutzerklärungen (Informationspflicht) an die geltenden Regelungen an.

 

Datennutzung

Prüfen Sie die Einwilligungserklärung zur Datennutzung (aktive Bestätigung).

 

Kopplungsverbot

Beachten Sie das Kopplungsverbot (Freiwilligkeit der Datennutzung).

 

Änderungsdienst

Passen Sie Auftragsverarbeitungen an die Änderungen an (Haftung, Dokumentation).

 

Dokumentationspflicht

Etablieren Sie Dokumentationsprozesse (Dokumentationspflicht) für den Umgang mit personenbezogenen Daten.

 

Datenflüsse

Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten/Datenflüsse in gängigen und online übertragbaren Formaten (bzgl. Auskunftsgesuch).

 

Datenschutz

Prüfen Sie die technischen Schutzvorkehrungen (Krypto-Konzept, Anonymisierung, Pseudonymisierung etc.) und ein entsprechendes Backup mit der Technik- und IT-Abteilung sowie dem Datenschutzbeauftragten.

 

Betriebsvereinbarung

Passen Sie Ihre Betriebsvereinbarung(en) und andere Unterlagen/Anweisungen an die EU-DSGVO an.

 

Kommunikationsrouten

Kanalisieren Sie die Kommunikationsrouten für Kundenanfragen zum Datenschutz insbesondere bei Widersprüchen zur Datennutzung.

 

personenbezogene Daten

Klären Sie mit externen Dienstleistern, - z.B. Sicherheitsunternehmen - die. personenbezogene Daten für Sie verwalten, inwieweit die EU-DSGVO bei outgesourcten Leistungen gilt.

 

Pannen/Verstöße

Etablieren Sie einen Prozess bei Datenpannen, Sicherheitsvorfällen und Datenschutzverstößen.

 

Personalentwicklung/Qualität

Schulen Sie Ihre Mitarbeiter zielgruppengerecht im Hinblick auf die Vorgaben und Vorgänge.

 

Entwicklung

  • Stellen Sie Ihren aktuellen Überblick über

  • Neuerungen jeglicher Art (z.B. Vertragsanpassungen)

  • Gesetzesänderungen

  • Fortbildungsmöglichkeiten usw.

  • sicher.

 

Meldewesen

Als Grundlage dient das elektronische Wachbuch. Im Berichtswesen sind aufzuführen, welche geschäftlichen Berichte vom AG erwartet werden:

  • z.B. monatlicher Erfolgsbericht mit Erläuterungen

  • evtl., warum es Maluspunkte gibt (Voraussetzung: Im Vertrag die Vergabe von Maluspunkten bei Fehlleistungen vereinbaren)

  • Verbesserungsvorschläge

  • Zusatzaufgaben.

Das Wachbuch wird vom AN gestellt und vom Werkschutz in Form einer DV-gestützten Datenbank geführt. Es soll

  • über die Personalbesetzung der Schicht,

  • die durchgeführten Maßnahmen,

  • Vorkommnisse

  • und sonstige Dienstleistungen

Auskunft geben. Die im Wachbuch aufgeführten Zeiten (Echtzeiten) und Daten müssen präzise sein.

Vorkommnisse müssen vollständig, korrekt und sachlich richtig geschildert werden.

Eine persönliche Bewertung oder Stellungnahme ist anzufertigen. Das Wachbuch ist so ein-zurichten, dass die berechtigten AG-Vertreter jederzeit Zugriff haben.

Wichtig ist, dass das Wachbuch als ein Dokument gilt, welches z.B. im Rahmen polizeilicher Ermittlungen den Rang eines Beweismittels bekommt.

Grundlage für eine Vereinbarung des Meldesystems sind die Eskalationskette und Interventionsmaßnahmen des AG. Nach Vertragsabschluss erhält der AN (u.a.) die Notfallkarten und die Telefonlisten. Die Kenntnis der Standorte und Funktion der Feuermelder durch das Personal ist wichtig.

Beispiel: Dokumentation der Übergabe des Wachdienstes

Dieses Beispiel zeigt, wie etwa die Dokumentation bei Übergabe des Wachdienstes aussehen könnte.

  • Montag - Freitag: Um 07:00 Uhr erfolgt eine Übergabe zwischen dem Leiter der Nachtschicht, dem Leiter der Tagesschicht und dem Ansprechpartner des AG.

  • An Samstagen, Sonntagen und gesetzlichen Feiertagen erfolgt die Übergabe nur zwischen den 2 Leitern des AN.

  • Die Übergabe ist immer in einem Übergabeprotokoll zu dokumentieren. Das Übergabeprotokoll ist von allen Teilnehmern zu unterschreiben, das Original erhält der Auftraggeber. Eine Kopie erhält der Objektleiter.
    - Die Übergabe von der Tag- an die Nachtschicht erfolgt täglich von 19:00 – 19:30 Uhr zwischen den beiden Leitern. Auch diese Übergabe wird in einem Übergabeprotokoll dokumentiert.
    - Das Protokoll wird unterschrieben.

  • Der Ansprechpartner des AG erhält von den internen Übergaben beim AN bei der nächsten Übergabe, an der er teilnimmt, das Übergabeprotokoll.

  • Die folgenden Informationen sollen im Rahmen der Übergabe besprochen werden. Eine entsprechende Dokumentation erfolgt im Rahmen des Übergabeprotokolls wie folgt:
    - Namen, Dienstnummern und Dienstzeiten aller Sicherheitskräfte der jeweiligen Schicht.
    - Überblick über die allgemeine Situation im Wachbereich und allgemeiner Informationsaustausch.
    - Alle besonderen Vorkommnisse der jeweiligen Schicht.
    - Schäden und Mängel, die festgestellt und protokolliert wurden.
    - Verstöße gegen die Haus- und Benutzungsordnung.
    - Konflikte, die im Wachbereich stattgefunden haben.

    Rückmeldung über die Zutrittskontrolle:
    - Personen/Bewohner ohne Hausausweis
    - Fremdfirmen
    - Wachpersonal.

    Rückmeldung der Aufsichten:
    - Situation Speisesaal/Essenausgabe,
    - Kleiderkammer
    - Labor etc.

    Rückmeldung der Doppelstreife:
    - Beschreibung/Benennung des Streifenweges und der Zeit des Streifenganges
    - Situation auf den Streifenwegen, falls von Normal abweichend.

    Rückmeldung vom Dienstraum des AG (gemietet):
    - Ausgabe von Schutzmitteln und Ausrüstungsteilen
    - Ausgabe von Hygieneartikeln
    - Konfiszierte Gegenstände gegen Quittung (z.B. illegale Kochplatten, Alkohol, Waffen u. ä.)

  • Weiteres
    - Fragen/Kommunikation zwischen AG und AN und umgekehrt
    - Vorschläge zur Verbesserung, Anregungen
    - Informationsweitergabe über Entwicklungen im Wachbereich.

  • Behandlung von Fundsachen
    - Fundsachen sind in der Zentrale abzugeben. D.h., der Empfangsdienst empfängt und verwahrt die Fundsachen zunächst und übergibt sie dem AG.

  • Gefahrenmeldeanlagen und Handlungen in Notfällen
    - Die Handlungen des wach- und Dienstpersonal richten sich nach den Vorgaben des Krisenmanagements bzw. der Notfallkarte.

Soweit ein praktisches Beispiel, welches je nach Auftragslage entsprechend angepasst aussehen würde.

Regeln im Brandfall und bei Chemikalienaustritt

Der Austritt von Chemikalien kann allerdings nur in entsprechenden Unternehmen vorkommen. Im betreffenden Fall erfolgen entsprechend „Notfallkarte Brand“ bzw. „Notfallkarte Chemikalienaustritt“ unverzüglich die vorgegebenen Handlungen. Damit das Zusammenwirken mit anderen Bereichen bzw. Organen sicher klappt, sollten entsprechende Übungen regelmäßig durchgeführt werden. Zwischen Auftragnehmer und Auftraggeber ist abzustimmen, wer für solche Übungen die Federführung hat. Am wenigsten Diskussion entsteht hierüber, wenn bereits im Bewachungsvertrag die Festlegungen hierzu getroffen wurden. Dieses Zusammenspiel muss auch übereinstimmend aus den Notfallkarten eindeutig hervorgehen.

Handlungen bei Notfällen, Einbruch, Gewalt gegen das Objekt

Beim Bemerken eines Einbruches oder anderer Gewalttaten ist umgehend die Polizei zu verständigen. Innerbetrieblich ist entsprechend der Alarmketten für Not- und Ausnahmesituationen (gemäß der Meldekette in Notfällen) zu handeln. Die Meldungen sind wie in der jeweiligen Notfallkarte vorgegeben, durchzuführen.

In diesem Zusammenhang ist die Frage zu beantworten, wie erfolgt die Schulung des Personals? Welche Arten des praktischen Trainings werden durchgeführt? Von wem und wann? Welche Ziele haben die Übungen? (z. B. Evakuierungsübungen unter Einbindung des Sicherheitspersonals).

Bezüglich des Brandschutzes bzw. bei einem Brand gelten üblicherweise folgende Grundregeln: Bei Auslösung der BMA verbleibt der Mitarbeiter weiterhin in der Zentrale zum Telefondienst und verlässt diese lediglich zum Selbstschutz. Was Selbstschutz bedeutet, sollte in das Training einbezogen werden, damit hier keine Gefährdungen durch „Heldentaten", aber auch kein ungerechtfertigtes vorzeitiges Verlassen des Postens erfolgt. Auf jeden Fall muss die jeweilige Einsatzleitung (Stabsstelle) präzise wissen, wer sich auf solchen Posten befindet. Die funktionierende Kommunikation in solchen Fällen muss auf jeden Fall insbesondere bei der Instandhaltung der Ausrüstung und Anlagen und deren laufenden Überprüfung eine erstrangige Rolle spielen.

Die BS- Ordnung des Auftraggeber-Unternehmens wird dem AN zur Verfügung gestellt. Er hat seine Mitarbeiter hierzu entsprechend regelmäßig und nachweislich zu unterweisen.

Das gleiche trifft für die Umweltschutz-Ordnung des AG zu.

Allgemeine Hinweise bei Gewalthandlungen

Die folgenden Ausführungen sind „allgemein-typisch“. Sie sollen vom AN bedarfsweise ergänzt bzw. an das Objekt angepasst werden, weil unterstellt wird, dass der AN hierfür besondere Regelungen bereithält und seine Mitarbeiter entsprechend trainiert sind.

Verhalten bei Straftaten und betrieblichen Ordnungsverstößen sowie Schadensfällen mit Personen- und Sachschäden sind neben der Meldung folgende Maßnahmen durchzuführen:

  • Falls erforderlich, Erste Hilfe

  • nichts berühren und verändern

  • Absperren des Tatortes/Tatortsicherung

  • Keine Gegenstände entfernen oder hinzufügen

  • Keine unbemerkten eigenen Spuren legen

  • Zeugen anweisen, den Tatort bis zum Eintreffen der Polizei nicht zu verlassen.

Von verdächtigen Personen ist eine zuverlässige Personenbeschreibung notwendig. Verwenden Sie für die Personenbeschreibung das Formblatt „Verdächtige Personen-Merkmale zur Personenbeschreibung“. Bei verdächtigen Fahrzeugen sind mindestens folgende Merkmale zu notieren:

  • Fahrzeugmarke

  • Fahrzeugtyp

  • Fahrzeugfarbe

  • Kennzeichen

  • Anzahl der Insassen.

Verhalten bei Drohanrufen:

Drohanrufe sind mit dem Formblatt „Verhalten bei Bombendrohung“ zu erfassen. Insbesondere ist zu beachten:

  • Aufmerksam zuhören

  • Den Anrufer nicht unterbrechen

  • Möglichst viele Informationen gewinnen

  • Auf Hintergrundgeräusche achten

Verhalten bei festgestellten verdächtigen Gegenständen bzw. Sprengsätzen:

Art, Ausmaß und Gewicht von hinterlegten Sprengvorrichtungen sind an keine bestimmte Form gebunden. Die Bauweise kann von der präparierten Kleinsttechnik, wie Mobiltelefon u. ä. über die Zigarrenkiste, Aktentasche, das Geschenk, den Feuerlöscher bis hin zum Kraftfahrzeug mit großvolumiger Ladung reichen.

Sollte der geringste Verdacht bestehen, dass es sich bei einem Gegenstand um eine Sprengstoffvorrichtung handelt, sind die vorgesehenen Maßnahmen unter Berücksichtigung der folgenden Mindest-Verhaltensregeln zu ergreifen:

  • Nicht rauchen

  • Feuerlöscher bereithalten

  • Gegenstand nicht anfassen

  • Gegenstand nicht schütteln oder werfen

  • Gegenstand nicht anheben oder bewegen

  • Gegenstand nicht biegen oder brechen

  • Gegenstand nicht öffnen und keine Schnüre abschneiden

  • Gegenstand nicht ins Wasser legen

  • Nichts auf den Gegenstand legen

  • Erschütterungen vermeiden

  • Laute Geräusche vermeiden

  • Lichtverhältnisse nicht ändern

  • Sofort Raum sichern (absperren) und verlassen

  • Unbefugte fernhalten

  • Funkverkehr einstellen.

Gerade für solche Fälle muss das Personal gut geschult sein, um unter drohender Lebensgefahr besonnen handeln zu können.

Handlungen bei technischen Störungen

Grundsätzlich ist für technische Störung die technische Leitung zuständig. Diese bestimmt einen Bereitschaftsdienst, der bei Störungen zu informieren ist. Folgende Formulierungen sind „allgemein-typisch“. Sie sollen vom AN bedarfsweise ergänzt bzw. an das Objekt angepasst werden, sofern nicht bereits AG-Unterlagen, wie z.B. Notfallkarten usw. vorliegen.

Notfall-Rufnummern (Beispiel)

zu informieren

Allgemeine Rufnummern

während der Betriebszeiten

außerhalb der Betriebszeiten

Polizei

0110

   

Feuerwehr/Notarzt

0112

   

Vorgesetzte Stelle des AN-Mitarbeiters

     

Entscheidungs- und weisungsbefugte Stelle des AG

  • Geschäftsführung

  • Niederlassungsleitung (falls vorh.)

  • Objektleitung

  • dessen Vertretung

Aber nicht allein das Vorhandensein von Notfallrufnummern ist eine ausreichende vorbeugende Maßnahme. Es muss auch sichergestellt sein, dass der jeweilige Angerufene auch tatsächlich kompetent ist und in kürzester Zeit zur Problemlösung aktiv beiträgt. Das ist leichter gesagt, als getan. Stellen wir uns einmal vor, in einem Unternehmen seien wesentliche Leistungen der technischen Betriebsführung und der Instandhaltung an einen Dienstleister ausgegliedert. Die Aufgaben des Wach- und Sicherheitsdienstes seien an ein anderes Unternehmen vergeben. Das Unternehmen arbeite im Wesentlichen einschichtig. Das Sicherheitsunternehmen habe auch die Aufgabe, das Objekt in der arbeitsfreien Zeit zu überwachen, also dort in einer Wachzentrale präsent zu sein. Dann ist es häufig üblich, die technischen Einrichtungen auf den Wachdienst aufzuschalten bzw. dem Wachdienst aufzuerlegen, den Helpdesk zu bedienen.

Das bringt natürlich auch mit sich, dass entsprechende Entscheidungen zu fällen sind. Dies muss erfolgen über die Schnittstelle der beteiligten drei Unternehmen (AG und 2 AN) hinaus, und zwar

  • Meldung hin zum Entscheidungsträger für die entsprechende technische Anlage, die gestört ist

  • Meldung zurück an die Sicherheitszentrale

  • Kommunikation der Sicherheitszentrale mit demjenigen, der die Störung meldet (sofern es eine Person ist)

  • Erkennen und festlegen, wie die Störung zu beseitigen ist

  • Ist Personaleinsatz zur Störungsbeseitigung nötig?

  • Falls ja, sind entsprechende Kommunikation und Handlungen durch das Sicherheitspersonal notwendig. Zum Beispiel könnte die Begleitung zum Ort des Geschehens erforderlich sein. Bei Besetzung der Sicherheitszentrale mit nur einer Person muss dann aber geklärt sein, was das Verlassen des Postens zur Folge haben kann….

Bereits durch die Darstellung wird klar, dass die Leitung des FM hier eine wichtige koordinierende Funktion im Rahmen ihrer strategisch/taktischen Aufgaben wahrnehmen muss, damit in Notfällen wirkungsvoll und zielsicher gehandelt wird und sich Störungs- bzw. Notrufmeldungen nicht in der „Tiefe der Nacht" verlieren.

Änderungen an objektbezogenen Dienstanweisungen

Objektbezogene Dienstanweisungen sind aber auch eine Beschreibung von dynamischen Prozessen, die einer ständigen Überprüfung unterliegen müssen. Sie verändern sich, wenn die Prozesse des Auftraggebers sich verändern. Diesen Punkt muss der Sicherheitsunternehmer berücksichtigten und mit einem regelmäßigen Überprüfungsverfahren für Aktualisierung sorgen. Neu hinzukommende Leistungen müssen aufgenommen werden.

Liste Änderungsnachweise von Dienstanweisungen: Änderungsnachweis

Datum

Geänderter Abschnitt / Neue Version

 

Erstausgabe

   

Die objektbezogene Dienstanweisung sollte Bestandteil des Bewachungsvertrages sein, und von beiden Vertragsparteien unterzeichnet werden, sozusagen als „Baseline“ der Zusammenarbeit. Ergeben sich durch bestimmte Umstände Änderungen der Arbeitsabläufe, muss der Sicherheitsmitarbeiter verpflichtet sein, unverzüglich seinen Arbeitgeber darüber zu informieren.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf Alle erlauben erklären Sie sich damit einverstanden. Weiterführende Informationen und die Möglichkeit, einzelne Cookies zuzulassen oder sie zu deaktivieren, erhalten Sie in unseren Cookies-Einstellungen.