FAQ

FAQ

FAQ zum Thema Datenschutz

Die Europäische Datenschutz-Grundverordnung ist die Verordnung (EU) 2016/679 des Europäischen Parlaments vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten, zum freien Datenverkehr. Sie gilt seit dem 25. Mai 2018.

Die Datenschutzverordnung gilt seit dem 28. Mai 2018 für alle Unternehmen, die in der EU ansässig sind. Allerdings müssen sich auch außereuropäische Unternehmen an die neuen Regelungen halten, wenn sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Wichtigste Grundlage im Anwendungsbereich der Datenschutzgrundverordnung ist dabei die Verarbeitung und der Schutz personenbezogener Daten.

Gemäß Artikel 4  DSGVO sind es alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Beispiele für personenbezogene Daten sind E-Mail-Adresse, Kontonummer, Augenfarbe, Kleidergröße, IP-Adresse, KFZ-Kennzeichen, Arbeitszeugnisse und viele Weitere.

Besondere personenbezogene Daten sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Die Regelungen zur Bestellpflicht für einen Datenschutzbeauftragten sind in Art. 37 DSGVO und § 38 BDSG (n.F.) enthalten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich grundsätzlich aus 3 Punkten:

  • Besondere Kategorien von Daten gemäß Artikel 9 der DSGVO werden verarbeitet oder
  • Die „Kerntätigkeit“ macht eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erforderlich
  • es sind (als Angestellte oder auch freie Mitarbeiter) mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

Wenn einer der Punkte zutrifft, wird ein Datenschutzbeauftragter benötigt.

Als Datenschutzbeauftragter darf gem. Art. 37 Abs. 5 DSGVO bestellt werden, wer die nötigen Eigenschaften besitzt, um seiner Aufgabe angemessen nachkommen zu können. Die wichtigsten Fähigkeiten eines Datenschutzbeauftragten sind:

  • Nachweisbare Fachkunde (Datenschutzrecht und Datenschutzpraxis)
  • Juristische Kenntnisse
  • IT-Kenntnisse
  • Betriebswirtschaftliche Kenntnisse
  • Zuverlässigkeit
  • Unabhängigkeit

Zum Datenschutzbeauftragten darf also nur bestellt werden, wer die erforderliche berufliche Qualifikation und auch die Fähigkeit besitzt, um die für einen Datenschutzbeauftragten vorgesehenen Aufgaben aus Art. 39 DSGVO ordnungsgemäß erfüllen zu können.

Datenschutzbeauftragte haben mindestens die Aufgaben nach Artikel 39 DS-GVO zu erfüllen. Dazu zählen:

  • Unterrichtung und Beratung des Verantwortlichen (oder des Auftragsverarbeiters) und der Beschäftigten, die Verarbeitungen durchführen hinsichtlich ihrer Pflichten nach der DSGVO sowie sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DS-GVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen
  • Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten (Artikel 38 Absatz 4 DSGVO).

Im Zuge der Zusammenarbeit mit externen Dienstleistern ist zu klären, ob eine Auftragsverarbeitung vorliegt. Charakteristisch für Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Auch wenn die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt, haftet aber auch derjenige, der die Daten im Auftrag verarbeitet. Und zwar direkt geenüber dem Betroffenen ,wenn er mit den Daten nicht gesetzeskonform umgeht und sie beispielsweise für eigene Zwecke verarbeitet oder an Dritte weitergibt. Auch bei Datenpannen haftet auch der Auftragsverarbeiter.

Ein Auftragnehmer darf nur mit Auftragsverarbeitern arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so eingesetzt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

Grundlage für die Auftragsverarbeitung ist ein schriftlicher Vertrag zwischen Auftraggeber und  Auftragsverarbeiter. Dies kann auch in einem elektronischen  Format erfolgen, in jedem Fall müssen die Anforderungen aus Artikel 28 DSGVO erfüllt sein.

Die Datenschutz-Grundverordnung verpflichtet nach Art. 30 EU-DSGVO dazu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen.

Das Verarbeitungsverzeichnis ermöglicht den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten innerhalb der Organisation zu überblicken. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse.

Betroffenenrechte sind die Rechte der betroffenen Personen, deren personenbezogene Daten verarbeitet werden. Die DSGVO verpflichtet die Unternehmen und Organisationen gleich mehrerer dieser Rechte beachten.

Dabei zählen neben den Informationspflichten des Verantwortlichen über Datenverarbeitungen auch das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit.

Eine zentrale Aufgabe des Datenschutzbeauftragten stellt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter dar (Art. 39 Abs. 1 lit. b)).

Alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, haben die DSGVO sowie nationale Vorschriften, Gesetze und entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten!

Auch aus den Meldepflichten der verantwortlichen Stelle gem Art. 33 und 34 DSGVO ergibt sich die unabdingbare Notwendigkeit von geschulten Mitarbeitern um dem Schutzbedarf der Daten entsprechen zu können.

Neben regelmäßigen Awarness-Maßnahmen sind Präsenzschulungen und / oder e-Learning Tools das geeignete Mittel um auch den Nachweis führen zu können.

Innerhalb eines Unternehmens überwacht der Datenschutzbeauftragte die Einhaltung der DSGVO, sofern die Voraussetzungen für eine Bestellpflicht gegeben sind. Darüber hinaus kontrollieren die „Aufsichtsbehörden“ der Bundesländer die Einhaltung der DSGVO. Die sich dort im Amt befindenden Landesbeauftragten für den Datenschutz und die Informationsfreiheit haben die Anwendung der DSGVO zu überwachen und durchzusetzen.

Die DSGVO sieht in Artikel 83 Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes vor. Der hohe Bußgeldrahmen ist ein Kernbestandteil der DSGVO, um auch gegen global agierende Unternehmen ein effektives Mittel bei Datenschutzverstößen zu haben.

Auch ist in Art 84 DSGVO zu entnehmen, dass [..]… die Sanktionen wirksam, verhältnismäßig und abschreckend wirken sollen.

FAQ zum Thema IT-Sicherheit

IT-Sicherheit stellt Maßnahmen zur Verfügung, um den Schutz von Daten und IT-Systemen zu gewährleisten.

Dabei gilt es grundsätzlich 3 Schutz-Ziele zu erreichen:  Die Vertraulichkeit der Informationen, die Integrität der Informationen und Systeme und die Verfügbarkeit der Informationen und Systeme.

Es ist also notwendig alle Anwendungen, Systeme, Netzwerke und die gesamte Infrastruktur, die zur Informationsverarbeitung dient vor Ausfall zu schützen um somit die Aufrechterhaltung des Geschäftsbetriebs sicherzustellen.

Informationssicherheit ist umfassender als die IT Sicherheit zu verstehen, da sie neben den technischen, auch nicht-technische Systeme und die Organisation bzw. das Unternehmen miteinschließt. Somit wird sichergestellt, dass auch nicht-digitale Komponenten wie z.B. ein Papierarchiv, das Betriebsgelände sowie die Unternehmensdaten durch entsprechende betriebliche Vorgaben geschützt werden.

Sowohl IT-Sicherheit wie auch die Maßnahmen der Informationssicherheit schützen ihr Unternehmen und dessen Daten gegen Schaden und Bedrohungen.

Sie reduzieren damit die Eintrittswahrscheinlichkeit von Angriffen, Datenverlust, Produktionsausfällen oder sonstigen Betriebsunterbrechungen, die wiederum Umsatzverluste nach sich ziehen.

Ebenso werden die Risiken bezüglich Vertrauensverlust gegenüber Kunden und Lieferanten, dem Image- und Reputationsverlust und natürlich auch von Haftungsforderungen gegenüber Geschäftsführern und leitenden Angestellten minimiert.

Über die Bestandsaufahme von Infrastruktur, Applikationen und Personal ergibt sich die Sicht auf die Unternehmensprozesse. Darin enthalten sind IT-Basisdienste wie Active Directory, DMZ, ESX und auch die zur Verfügung gestellten IT-Services wie Fileservice, E-Mail, ERP-System.

Die unternehmensspezifischen Kernprozesse wie Logistik, Personal, Vertrieb, Produktion etc. werden erfasst und hinsichtlich ihrer Kritikalität bewertet und möglichen Ausfall-Szenarien gegenübergestellt. Wichtig ist auch das Erkennen von Kopf-Monopolen im Unternehmen.

Auf dieser Basis ergibt die Schwachstellenanalyse die Notwendigkeit von entsprechenden Maßnahmen, Richtlinienerstellungen, Etablierung eines ISMS usw.

Die zentrale Aufgabe des Beauftragten für Informationssicherheit (ITSB) besteht darin, die Unternehmensleitung bei Fragen zur IT-Sicherheit zu beraten und bei der Umsetzung der Aufgaben zu unterstützen. Er ist dabei für die wirksame Umsetzung und vor allem für die regelmäßige Überprüfung und Anpassung der Leitlinie zur Informationssicherheit zuständig. Der ITSB muss die explizite Unterstützung durch die Leitung des Unternehmens haben. Grundsätzlich kann für diese Aufgabe auch der IT-Leiter oder Administrator sowie der Datenschutzbeauftragte eingesetzt werden.  Selbstverständlich ist auch eine Beauftragung eines externen Dienstleisters möglich und meistens nicht nur wirtschaftlich sinnvoll.

Ein Managementsystem für Informationssicherheit (ISMS) ist eine standardisierte Aufstellung von individuellen Verfahren und Regeln innerhalb eines Unternehmens. Inhaltlich spielen dabei die aktuelle Bedrohungslage bzw. Angriffs-Szenarien eine zentrale Rolle, denn aus diesem Kontext heraus werden Maßnahmen zum Schutz der Unternehmensinformationen definiert und umgesetzt.

Das in der Regel softwarebasierende ISMS dient also dazu, die Maßnahmen zur Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren und aufrechtzuerhalten.

Das ISMS ist unternehmensweit wirksam, und stellt damit das Sicherheitsniveau von Informationen nachhaltig und effektiv sicher, indem Unternehmensrichtlinien, Geschäftsprozesse, Mitarbeiter und IT-Strukturen einbezogen und risikoorientiert geschützt werden. Ein ISMS wirkt somit entlang der gesamten Wertschöpfungskette des Unternehmens.

Konkrete Zielsetzungen sind:

  • Identifikation und Bewertung von Informationssicherheitsrisiken
  • Entwicklung und Implementierung eines Risikomanagements für Informationssicherheit
  • Identifikation von besonders schützenswerten Unternehmensinformationen
  • Entwicklung geeigneter Schutzmaßnahmen
  • Etablierung einer Sicherheitskultur im gesamten Unternehmen
  • Kontinuierliche Verbesserung der Maßnahmen zur Informationssicherheit

Mit der Einführung des ISMS wird die Informationssicherheit zum integralen Bestandteil Ihrer Geschäftsprozesse. Durch die Analyse und Dokumentation der Geschäftsprozesse gewinnen sie Kenntnis über eventuelle Risiken und können gezielt gegensteuern.

Mit den daraus abgeleiteten Maßnahmen wird ein vertrauenswürdiger Informationsaustausch sichergestellt, und auch die Mitarbeiter erlangen ein gesteigertes Sicherheitsbewusstsein.

Grundsätzlich führt die Vorgehensweise zur Erkennung, Bewertung und Minimierung der Risiken. Daraus ergeben sich erfahrungsgemäß reduzierte Versicherungsprämien sowie Wettbewerbsvorteile am Markt.

Grundsätzlich gilt es festzustellen, ob die Risiken für die Informationssicherheit systematisch identifiziert sind.  Das beinhaltet u.a. auch, dass nur autorisierte Personen Zugang zu Informationen haben und nur autorisierte Nutzer auf Informationen und Systeme zugreifen, wenn diese benötigt werden. Außerdem müssen Voraussetzungen geschaffen sein, dass Informationen genau, vollständig und richtig verarbeitet werden.

Ein erkennbarer Nutzen ist in jedem Fall eine Zertifizierung nach standardisierten Normen und Standards. In Abhängigkeit branchen- und Endkundenspezifischer Anforderungen ist das geeignete Zertifizierungsmodell auszuwählen.

Im Rahmen eines Voraudits wird geprüft, ob Ihr ISMS bereits den Anforderungen des Standards entspricht. Im Anschluss wird der Ist-Zustand der Informationssicherheit Ihres Unternehmens gegen die Standardanforderungen geprüft und in einem Bericht dokumentiert. Entsprechende Abweichungen werden im Maßnahmenplan erfasst und umgesetzt um die Zertifizierungsreife zu erlangen.