News - DatenschutzProfi24.de

Ein ereignisreiches Jahr beim Datenschutz

Ein Jahr geht zu Ende, welches mit vielen Ereignissen im Bereich Datenschutz aufwarten konnte.

Für uns waren die Einführung der Datenschutzgrundverordnung und die des Bundesdatenschutzgesetzes-neu die wichtigsten Ereignisse des Jahres im Bereich Datenschutz; auch wenn bis zum Inkrafttreten der EU-DSGVO noch ein paar wenige Monate vergehen werden.

Gefeiert als Meilensteine im Datenschutz, gefürchtet wegen des hohen administrativen Aufwandes und der zu erwartenden hohen Strafen, rückt die EU-Datenschutzverordnung immer mehr in den Fokus der Unternehmensführung.

Wir haben uns im laufenden Jahr mit vielen Themen zur EU-DSGVO auseinandergesetzt. IT-Grundschutz, technisch organisatorisch Maßnahmen, Haftungsregelungen und Notfallregelungen sind nur einige der Dinge mit denen wir uns beschäftigt haben und die wir versucht haben Ihnen näher zu bringen.

Auch im neuen Jahr werden wir Themen aufgreifen und diese näher beleuchten um Sie zu Unterstützen. Für Unternehmen die sich jedoch bislang noch nicht mit der EU-DSGVO auseinandergesetzt haben, wird die Zeit knapp. Bis um 25.05.18 müssen in den Unternehmen die neuen Regelungen zum Datenschutz eingeführt und umgesetzt sein. Im Mai erst mit der Umsetzung zu beginnen wird dann viele Unternehmer vor ein Problem stellen.

Die Umsetzung der gesetzlichen Vorgaben lässt sich auch bei größtmöglicher Kompetenz des Datenschutzbeauftragten nicht aus dem Ärmel schütteln, insofern dann kurzfristig ein solcher zur Verfügung steht. Die interne Prüfung des Unternehmens, das Sammeln und Zusammenführen der Dokumente, die Abwägung und Umsetzung der Vorgaben im Betrieb…ein Datenschutzbeauftragter sollte über ausreichend Fachkompetenz, Erfahrung und die Orientierung zur Praxis verfügen um diese Hürden zu meistern. Kurzfristig einen Mitarbeiter zum Datenschutzbeauftragten „auszubilden“ und Ihm diese Arbeit aufzubürden wird dem Unternehmen nicht gerecht werden. Auch befreit dieses Vorgehen die Geschäftsführung als verantwortliche Stelle nicht vor dem zu erwartenden Regress der Behörden.

Schließen wir das Jahr in Ruhe ab. Genießen wir die Feiertage und kommen etwas zur Ruhe. Und einer der Vorsätze für das Neue Jahr 2018 könnte dann sein, sich für die Umsetzung der Datenschutzgrundverordnung die Zeit zu nehmen die Notwendig ist, um die Einführung und Umsetzung datenschutzkonform anzugehen.

Und wenn sie Fragen haben hilft Ihnen wie immer ihr kompetenter Datenschutzbeauftragter.

Weitergabe der Kontaktdaten über WhatsApp ist illegal!

Wer WhatsApp nutzt, gibt die Telefonnummern aller seiner Kontakte automatisch an das Unternehmen weiter.

Unabhängig davon, ob die Besitzer der weitergegebenen Telefonnummern WhatsApp selbst nutzen oder nicht. Doch die Weitergabe der Kontaktdaten über Whatsapp ist illegal.

Das Amtsgericht Bad Hersfeld hat die Praxis in Frage gestellt. So hat das Gericht in seinem Urteil vom 20.03.2017 argumentiert, dass die andauernde Datenweitergabe von Kontaktdaten (ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben) eine deliktische Handlung gegenüber diesen Personen darstellt und deshalb kostenpflichtige Abmahnungen der betroffenen Personen möglich sind.

Das ist ärgerlich, doch unvermeidbar, wenn man WhatsApp verwenden will. Dieser laxe Umgang mit dem Datenschutz wird noch dadurch verschärft, dass WhatsApp die Daten an den Mutterkonzern Facebook weitergibt. Die EU hat deswegen erst kürzlich ein Strafgeld gegen Facebook verhängt.

Faktisch handeln damit alle WhatsApp-Nutzer illegal, denn wer holt schon vor der Installation von Whatsapp auf seinem Smartphone die schriftliche Einverständniserklärung von allen seinen Telefonkontakten zur Weitergabe der Telefonnummer ein?

So nötigt WhatsApp die Nutzer damit zu Rechtsverletzungen. Denn durch die automatische Weitergabe der Daten verletzt jeder WhatsApp-Nutzer das Recht der Kontakte auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts. Dieser Rechtsverstoß geschieht zumindest fahrlässig, wenn man fortlaufend den Dienst nutzt, ohne sich dessen AGB durchzulesen.

Das Persönlichkeitsrecht wird durch das bürgerliche Gesetzbuch geschützt. Daher können Whatsapp-Nutzer zur Unterlassung aufgefordert werden. Und daraus könnten hohe Abmahnkosten auf jeden WhatsApp-Nutzer zukommen. Es könnte sogar zu Schadensersatzansprüchen kommen.

Wobei es in der Praxis jetzt kaum dazu kommen dürfte, das sich Verwandte und Freunde gegenseitig abmahnen. So gilt es zu bedenken, das man sich als abmahnender WhatsApp-Nutzer selbst in die Gefahr begibt, wiederum von den anderen Nutzern abgemahnt zu werden. Und wer Whatsapp selbst nicht nutzt, weiß wiederum unter Umständen gar nicht, dass seine Freunde und Bekannten seine Telefonnummer an Whatsapp übermitteln. Wer trotzdem unbedingt abmahnen will, müsste jetzt gegen jede einzelne Person vorgehen, der man jemals seine Nummer gegeben hat, ohne zu wissen, ob sie WhatsApp nutzt. All das spricht zunächst gegen eine kommende Abmahnwelle, zumindest im privaten Bereich. Im geschäftlichen Bereich könnte die Sache jedoch grundlegend anders aussehen.

Jeder Nutzer von WhatsApp begeht grundsätzlich erst einmal einen Rechtsbruch nach der EU-Datenschutz-Grundverordnung (EU-DSGVO), was in Zukunft hohe, schmerzhafte Bußgelder nach sich ziehen könnte

Auf der sicheren Seite sind Sie nur, wenn Sie vorher bereits das schriftliche Einverständnis aller Ihrer Kontakte zur Weitergabe der Telefonnummern einholen. Weigert sich ein Kontakt, so müssen Sie diesen Nutzer eigentlich aus Ihrer eigenen Adressliste löschen.

Das Fazit aus diesem Urteil und der zu erwartenden Folgen: eine private Nutzung von WhatsApp ist grundsätzlich in Frage zu stellen und wird unter Umständen in Zukunft zu einem rechtlichen Problem sowohl für die Nutzer der Dienste als auch für den Diensteanbieter selbst. Zumindest nach derzeitigen Stand.

Von einer geschäftlichen Nutzung von WhatsApp ist jedoch grundsätzlich abzuraten. Unabhängig von Vergehen gegen EU-DSGVO, BDSG-neu und abmahnfähigen Verletzungen des BGB kann das Unternehmen nicht sicher sein, das nicht auch unternehmensinterne Daten an Dritte gehen.
Als Alternative würde sich anbieten, beispielsweise einen anderen Messenger-Dienst wie zum Beispiel Threema zu nutzen.

Ein weiterer Link zu dem Thema: http://www.funkschau.de/mobile-solutions/artikel/147733/

Sprechen Sie mit Ihrem Datenschutzbeauftragten über dieses Thema

E-Privacy-Verordnung und Online Marketing

Das EU-Parlament hat mit einer klaren Mehrheit den Entwurf zur neuen E-Privacy-Verordnung verabschiedet und damit auch das Online Marketing nachhaltig verändert.

Ein deutliches Signal für mehr Datenschutz der Bürger im Internet. Allerdings mit schwerwiegenden Folgen im Bereich des Online Marketing für die Unternehmen.

Die geplanten Inhalte könnten den Fortbestand bestimmter Angebote im Internet, im Online-Handel und Werbewirtschaft deutlich einschränken, so die Kernaussage der Verordnung und somit die Befürchtungen der Wirtschaft.

Um was es geht, hier ein Auszug: Bisher war in Deutschland gemäß § 15 Abs. 3 TMG für die Verwendung von Cookies die sogenannte Opt-out-Lösung gefordert.

Hier war es ausreichend, dass Unternehmen die Nutzungsprofile auf pseudonymer Basis erstellen hierüber in der Datenschutzerklärung informieren. Zusätzlich müssen sie den Nutzern die Möglichkeit geben, der Erstellung von Nutzungsprofilen zu widersprechen. Auch auf diese Möglichkeit wird in der Regel in der Datenschutzerklärung hingewiesen.

Diese Regelung wird nach der E-Privacy-Verordnung ersatzlos gestrichen. Sollte ein Unternehmen weiterhin Nutzungsprofile erstellen, wird dies künftig nur nach vorheriger ausdrücklicher Zustimmung des Nutzers möglich sein. Also beispielsweise mittels eines vorabgestellten Fensters, das vor der Anzeige einer Webseite ausdrücklich darauf hinweist. Davon wird es aber Ausnahmen geben. Ein Beispiel ist hier die Warenkorbfunktion in einem Online-Shop der ja ohne diese Funktion nicht funktionieren würde.

Auch betrifft es den Versand einer E-Mail mit werblichem Inhalt. Dieser ist entsprechend der E-Privacy-Verordnung erst nach vorheriger ausdrücklicher Einwilligung des Kunden möglich.

Doch es gibt auch Ausnahmen. Eine Einwilligung ist nicht notwendig, wenn das werbende Unternehmen die E-Mail-Adresse des Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung erhalten hat und diese für eigene ähnliche Produkte oder Dienstleistungen verwendet. Außerdem muss der Kunde jederzeit einer solchen Nutzung kostenlos und auf einfache Weise widersprechen können. Eine Umsetzung erfolgt hier meistens mit einem Link am unteren Rand der werbe Mail, der durch einfaches anklicken weitere Mails unterbindet.

Bei Nichtbeachtung fordert die E-Privacy-Verordnung, wie auch die EU-DSGVO, drakonische Bußgelder von bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Aus diesem Grund sollten Unternehmen bereits jetzt damit beginnen sich, ebenso wie auch mit der EU-DSGVO, mit den Auswirkungen für Ihr Geschäftsmodell auseinander zu setzen.

Fishing Mails mit Bezug zum Datenschutz

Fishing Mails „Werben“ jetzt direkt mit dem Bezug, Unternehmen im Bereich Datenschutz unterstützen zu wollen.

Andere Fishing Mails möchten aktiv Datenschutzbeauftragte und Personen mit Bezug zum Datenschutz auf gefälschte Internetseiten locken.

Schlimm genug, dass Spammer Ihre Mailbox zumüllen, andere auf Ihrem PC oder den mobilen Geräten herumschnüffeln wollen oder Schadprogramme einem die Lust am Internet verderben. Immer öfter fälschen Phishing-Betrüger E-Mails und Internetseiten. Die neuste Masche, die Betrüger geben an die Daten nach dem Bundesdatenschutzgesetz prüfen zu müssen. Hierbei geben Sie sich gerne als renovierte und bekannte Unternehmen aus.

Als Amazon, Ebay, PayPal oder andere Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren. Entweder weil zum Beispiel die Kreditkarte ablaufe, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten. Die versendeten Nachrichten stammen jedoch nicht von Amazon oder den anderen Unternehmen. Vielmehr ist dieses Unternehmen selbst Geschädigter der Phishing-Welle.

Diese E-Mails im HTML-Format zeigen dann einen Link an, hinter dem sich jedoch tatsächlich eine ganz andere Web-Adresse verbirgt. Um diese Adresse zu entdecken, muss man den Quelltext der HTML-Mail lesen. Das funktioniert beispielsweise über einen Klick mit der rechten Maus-Taste im Nachrichtenfeld und der Auswahl des Menüpunktes „Quelltext anzeigen“.

Der Empfänger wird über diesen Link dann auf eine Internetseite geführt, die der Amazon-Homepage ähnlich sieht oder einer anderen Homepage eines Unternehmens. Auf den ersten Blick scheint alles ganz normal, selbst die Eingabeformulare sehen gleich aus. Nicht zuletzt, weil einige der Verknüpfungen auch wirklich zu den richtigen Unternehmen führen sind diese E-Mail sehr gefährlich und können einen unvorsichtigen Nutzer schnell hinters Licht führen.

Wer einer solchen Seite seine Daten anvertraut, der beschert dem Ersteller der Fishing Mail fette Beute und kann sich selbst jede Menge Ärger einhandeln.

Wie Sie diese gefälschten E-Mails erkennen und wie Sie sich davor schützen können verrät Ihnen Ihr kompetenter IT-Dienstleiste oder Ihr Datenschutzbeauftragter gerne.

 

EU-DSGVO und IT-Grundschutz

Ein besonderes Mittel für die Einhaltung der technisch organisatorischen Maßnahmen der Datenschutzgrundverordnung ist die Zuhilfenahme des IT-Grundschutz und Maßnahmenkatalogs.

Das Grundschutz-Kompendium (IT-Grundschutz), welches durch das Bundesamt für Sicherheit und Informationstechnik erarbeitet und zur Verfügung gestellt wird, ist jetzt zum 06.10.17 in einer neueren und überarbeiteten Form veröffentlicht worden.

Was genau hat diese Vorlage mit den Anforderungen der EU-DSGVO zu tun?

Im Grundschutz werden explizit Gefährdungslagen erörtert, beschrieben und passende Lösungswege dargestellt. Diese Vorgaben können zur Erfüllung der in den technisch organisatorischen Maßnahmen geforderten Sicherheitsmechanismen als direkte Vorlage genutzt und angewendet werden. Zusätzlich können die erstellten Unterlagen, nach Umsetzung und Prüfung der Maßnahmen, als Nachweis zur Erfüllung der Anforderungen des Artikel 5 – Grundsätze für die Verarbeitung personenbezogener Daten, des Artikel 24 – Verantwortung des für die Verarbeitung Verantwortlichen und des Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen der EU-DSGVO dienen. Um hier nur einige der Artikel aus der Datenschutzgrundverordnung zu nennen in welcher die technischen und organisatorischen Maßnahmen (TOM) explizit Betrachtung finden. Wobei hier natürlich auch die Vorgaben der DSGVO-neu in die Betrachtung einbezogen werden müssen.

Einige Beispiele hierzu wären der Ausfall oder die Störung der Stromversorgung und der Verlust oder Diebstahl von Geräten. Aber auch der häusliche- und mobile Arbeitsplatz und viele andere Themen finden ihren Platz.

Im ersten Schritt mögen die Vorgaben gerade auch für kleine oder mittlere Unternehmen etwas zu überzogen wirken. Bei genauerer Betrachtung und im direkten Vergleich mit den gesetzlichen Anforderungen zeigt sich aber das hier ein nachvollziehbarer und nützlicher Weg zur Umsetzung der TOM`s aufgezeigt wird.

Sprechen Sie doch Ihren IT-Verantwortlichen oder Ihren Datenschutzbeauftragen einfach einmal darauf an.

Einsatz von Dashcams im öffentlichen Straßenverkehr

Dashcams werden von Straßenverkehrsteilnehmer zunehmend unter dem Gesichtspunkt der Beweiskraft im Falle eines Verkehrsunfalles benutzt. Fraglich ist jedoch, ob Dritte, welche gefilmt werden, in ihrem Persönlichkeitsrecht beeinträchtigt werden und ob möglicherweise datenschutzrechtliche Verstöße gegeben sind.

Urteile mit unterschiedlicher Ausage

Zu diesem Thema gab es in der letzten Zeit drei Gerichtsurteile mit unterschiedlichem Tenor. Sowohl das Oberlandesgericht Stuttgart mit Urteil vom 17.07.2017, Aktenzeichen 10 U 41/17, als auch das Oberlandesgericht Nürnberg mit Urteil vom 07.09.2017, Aktenzeichen 13 U 851/17 kommen übereinstimmend zu dem Ergebnis, dass Aufnahmen mit Hilfe von Dashcams zumindest dann zulässig sind, wenn sie schwerwiegende Verkehrsordnungswidrigkeiten aufzeichnen. Denn letztlich überwiege das Interesse des Geschädigten an einem effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör das Interesse des Unfallgegners an dessen Persönlichkeitsrechten, gemäß Art. 2 Abs. I GG.

Dem Urteil der beiden Oberlandesgerichte gegenüber steht das Urteil des Amtsgerichtes München vom 09.08.2017, Aktenzeichen 1112 OWI 300 Js 121012/17, welches entschied, dass nach Auffassung des Gerichts im hier vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung überwiege und entsprechend das Interesse der Betroffenen an der Aufdeckung von einer potenziellen Straftat hierbei zurückstehen muss. Zudem führt das Amtsgericht München weiter aus, dass das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichem Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar.

Stellungname eines Juristen

Rechtsanwalt Sebastian Einbock von www.juraforum.de sagt dazu:  „Aktuell tendieren das OLG Stuttgart und Nürnberg für die Zulässigkeit von Dashcam-Videos als Beweismittel, dennoch wird nur ein BGH-Urteil irgendwann bundesweit Klarheit schaffen.“

Datenschutz

Als datenschutzrechtliche Norm kommt aktuell bei diesen Fällen § 6b Abs. 1 S. 1 Nr. 3 BDSG – alt zur Geltung, welcher besagt, dass optisch-elektronische Einrichtungen (Videoüberwachung, Dashcams) dann nur zulässig ist, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Abwägung ist wie bereits erwähnt, noch nicht einheitlich juristisch geklärt und bedarf weiterer Entscheidungen.

Am Inhalt dieser Norm wird sich auch mit Einführung des BDSG – neu nichts ändern, gemäß § 4 Abs. 1 S. 1 Nr. 3 BDSG -neu. Da die Datenschutz-Grundverordnung (DSGVO) keine explizite Regelung zur Videoüberwachung trifft, greift der grundsätzliche Anwendungsbereich der DSGVO hier nicht. Dafür sieht die DSGVO in Art. 6 Abs. 2, 3 für Abs. 1 S. 1 lit. C und e vor, dass die Mitgliedsstaaten einen Kompetenztitel zur Ausfüllung diese Lücke (sogenannte Öffnungsklausel) erhalten. Der deutsche Gesetzgeber ist dem mit § 4 BDSG -neu nachgekommen.

Aus juristischer Sicht ist also keine einheitliche Rechtsprechung erkennbar und es wohl letztlich auf eine höchstrichterliche Rechtsprechung seitens des BGH ankommen wird.

Passwörter – Zugriffschutz und technisch organisatorische Maßnahmen

Eine der expliziten Themen der technisch organisatorischen Maßnahmen ist jene, welche den Zugriffschutz durch Passwörter Wiederspiegelt.

Die bislang gängigen Methoden sind Passwörter mit 8 Zeichen Eingabelänge, Groß- und Kleinschreibung und Sonderzeichen. Doch schon bei der Einführung von Passwörtern mit beispielsweise 16 Zeichen stößt man in der Umsetzung und beim Endanwender auf Probleme und Widerwillen. Wird dann auch noch gefordert, den Bildschirmschoner nach 5 Minuten aktiv zu setzen, so dass sich der Endanwender nach Ablauf dieser Zeit mit Passwort anmelden muss, wird in vielen Fällen der verantwortliche IT-Leiter mit dem Vorwurf der Unzumutbarkeit konfrontiert.

Doch die Realität aus Sicht der IT-Sicherheit und des Datenschutzes lässt hier kaum Spielraum für diese Auslegung. Die Sicherheit von Passwörtern und damit das Risiko, dass die eigenen Zugangscodes geknackt werden, sind eine äußerst komplexe Angelegenheit. Jenseits aller Theorie haben die Entwicklungen der vergangenen Jahre signifikante Auswirkungen auf die Wahrscheinlichkeit, dass man Ihre Kennwörter überlistet und damit an personenbezogene Daten oder Unternehmensdaten kommt. Selbst ein langes und mit diversen Kniffen versehenes Passwort ist oft nur vermeintlich sicher. Alleine die verfügbare Leistung eines kleinen Rechnerverbundes mit zwei Dutzend Grafikkarten ist so groß, dass ein achtstelliges Passwort nach wenigen Stunden durch schlichtes Durchprobieren geknackt ist. Und die Hacker verwenden längst andere Methoden…

Nicht zuletzt aufgrund der zahlreichen Online-Einbrüche der vergangenen Jahre, bei denen die Daten von Millionen Kunden teilweise mit den Zugangscodes im Klartext gestohlen und später geleakt wurden, kennt man eine Unmenge gängiger Passwörter. Diese braucht man nur noch mit mehrsprachigen, vollständigen Wörterbüchern zu kombinieren, um dann Angriffe mit diesen „wahrscheinlichsten“ Ausdrücken durchzuführen. Ein paar Millionen Ausdrücke sind eben schneller abgearbeitet als eine Billiarde systematischer Versuche. Doch damit nicht genug, denn die erbeuteten Listen zeigen auch vielverwendete Muster. So sind simple Phrasen wie „12345..“, „Password“ oder die Namen von Partnern, Kindern oder Haustieren auf dem Rückzug, einfache Änderungen gewöhnlicher Worte und andere Muster sind aber nach wie vor an der Tagesordnung.

Wie also weiter vorgehen? Sichere Passwörter zu managen ist nicht ganz einfach. Ein einziger sicherer Zugangscode für mehrere Konten verbietet sich, denn wenn Hacker das Kennwort für ein Konto haben, haben sie zugleich Zugang zu weiteren. Einfache Phrasen, Zitate und Ähnliches inklusive simpler Zahlen-Buchstaben-Änderungen stehen längst in sogenannten „Wörterbüchern“, also Kennwortlisten, die in Hacker-Tools implementiert sind und das Knacken erleichtern.

Mehr Schutz bieten die Zwei- oder Drei-Faktor-Authentifizierung. Die Umsetzung der Sicherheitsmechanismen „etwas wissen, etwas besitzen, etwas sein“ sind heute einfach umzusetzen. Die Kombination aus Passwort, USB-Key und beispielsweise eines Fingerprint-Sensors sind sicher und zwischenzeitlich gerade auch für sensible Bereiche einfach und bezahlbar umsetzbar.

Sie wollen mehr über das Thema wissen? Sprechen Sie mit Ihrem kompetenten IT-Verantwortlichen oder Datenschutzbeauftragten.

Cyberattacken und die EU-DSGVO

Cyberattacken und Hackerangriffe gehören mittlerweile zum Alltag.

Die IT-Sicherheit innerhalb eines Unternehmens spielt eine bedeutende Rolle, sei es in Bezug auf datenschutzrechtliche Aspekte beim Umgang mit Mitarbeiterdaten oder auch auf das Abwehren von äußeren Bedrohungen durch Cyberattacken und Hackerangriffe. Oft werden mithilfe von Schadsoftware oder durch Manipulationen von Computersystemen sensible personenbezogene oder unternehmensinterne Daten gestohlen oder ganze EDV-Systeme lahmgelegt.

In der Vergangenheit wurden einige Fälle bekannt, in denen solche Unternehmen Opfer von Hackerangriffen wurden, ohne, dass dies vorerst der Öffentlichkeit bekannt gegeben wurde. Kunden dieser Telekommunikationsanbieter erfuhren erst spät, dass auch ihre personenbezogenen Daten von diesen Eingriffen betroffen waren.

Dem gegenüber hat die EU mit der DSGVO und der Festlegung in Artikel 33 und 34 einen Riegel vorgeschoben. Jetzt ist eine explizite Meldepflicht bei Datenschutzverstößen eingeführt. Es drohen bei Missachtung dieser Meldepflicht weitreichende Konsequenzen und hohe Strafen.

Was ist jedoch zu tun, wenn im Unternehmen der Versuch oder die Durchführung eines Hackerangriffes festgestellt worden ist? Gerade kleine und mittlere Unternehmen haben hier Schwierigkeiten bei der Umsetzung des Gesetzestextes.

Zunächst trifft solch ein Vergehen die Einsatzbereitschaft der eingesetzten IT. Server, Rechner und andere Anwendungsgeräte müssen geprüft und von den Schädlingen befreit werden. Eventuell müssen Daten wiederhergestellt werden, und so weiter… Die meisten kleineren Unternehmen sind nicht oder nur schlecht darauf vorbereitet. Mit der Auflage hier im Schadensfall auch noch eine Bedrohungs– oder Gefährdungsanalyse zu erstellen und eine datenschutzkonforme Auswertung durchzuführen, in wie weit und in welchem Maße personenbezogene Daten betroffen sind, sind die meisten Unternehmer dann überfordert.

Mit der Einbeziehung und Einbindung eines qualifizierten Datenschutzbeauftragten, bereits vor einem Problem wie einer Cyberattacke oder eines Hackerangriffes, können Sie und Ihre IT Verantwortlichen im Vorfeld Vorgehensweisen festlegen wie mit derartigen Vorfällen umgegangen wird. Im Bedarfsfall ist der Datenschutzbeauftragte dann zeitnah in der Lage eine Datenschutz-Folgenabschätzung zu erstellen und zu Prüfen ob eine Meldung an die Aufsichts-Behörde erfolgen muss und unterstützt die Verantwortliche Stelle in diesem Fall im Kontakt und der Lösungsfindung mit der Behörde.

Nach wie vor scheuen sich viele Betriebsleiter hier den Datenschutzbeauftragten einzubinden. Doch nach der Einführung der Datenschutzgrundverordnung wird sich das ändern müssen. Zu hoch sind die Sanktion- und Haftungsrisiken bei Nichtbeachtung.

Also, sprechen Sie mit dem Datenschutzbeauftragten ihres Vertrauens.

Datenschutz-Compliance nach der DSGVO

Eines der großen Themen die uns im Bereich der DSGVO beschäftigen ist die Datenschutz-Compliance. Die Planung, Einführung und letztendlich die datenschutzkonforme Überwachung aller Prozesse.

Die bislang nach BDSG ausgearbeiteten und gepflegten Checklisten und Unterlagen sind künftig nicht mehr ausreichend. Der Fokus der EU-DSGVO und der Behörden richtet sich auf andere Bereiche und auch der Ansatz zur Umsetzung der Vorgaben wurde angepasst. IT-Sicherheit, Risikoplanung, Risikoabschätzung und Prozessüberwachung sind nur einige der Stichpunkte der zur Betrachtung stehenden Thematiken. Viele der gerade auch kleinen- und mittelständischen Unternehmen sind jedoch gerade hier in der Umsetzung überfordert.

Die verantwortliche Stelle eines Unternehmens ist grundsätzlich die Geschäftsleitung. So ist die Geschäftsleitung des Unternehmens der erste Ansprechpartner für die Aufsichtsbehörden, sowie Verantwortlicher bei Datenschutzverstößen. Der Geschäftsführer kann die Verantwortung nicht an andere Stellen delegieren. Viele Geschäftsführer sind sich jedoch dessen immer noch nicht bewusst.

Die Einbeziehung des Datenschutzes in alle Belange des Unternehmens, in die Planung von Prozessen, die Umsetzung dieser Prozesse, letztendlich die Überwachung und Prüfung auf eventuelle Folgen von Datenschutzverstößen sind das Kernthema der DSGVO. Doch wie auch im Bereich der IT- und IT Sicherheit werden das die Geschäftsführer alleine nicht lösen können.

Es ist zwischenzeitlich Normalität das sich Unternehmen bei IT-Projekten die Hilfe externer, professioneller Unternehmen sichern. Angefangen bei der laufenden Wartung von Geräten bis zur Umsetzung komplexer Strukturierungen in Rechenzentren und Cloud-Diensten. Doch genauso Normalität muss es werden, das in alle Prozesse der Datenschutzbeauftragte als fachlich kompetenter Dienstleister der Geschäftsleitung eingebunden wird.

Die prozessorientierte Betrachtung und Einteilung beinhaltet drei Kernprozesse, datenschutzkonforme Verarbeitung, Sicherstellung der Betroffenenrechte und den Umgang mit Datenschutzverletzungen. Diese Prozesse lassen sich nicht im „Notfall“ aus dem Ärmel schütteln. Hier sind ausführliche Vorarbeiten Voraussetzung um zum Beispiel in einem Schadensfall sicher und Datenschutzkonform zu agieren. Wenn die Behörde wegen eines Vorfalles auf das Unternehmen aufmerksam geworden ist. Weil beispielsweise die Meldepflicht verletzt wurde, wird sich das künftig auch in der Höhe der Bußgelder wiederspiegeln, die von der Behörde verhängt werden MÜSSEN. Entsprechend sollte sich die Geschäftsleitung eines Unternehmens vorab absichern und die Pflichten der DSGVO ernstnehmen.

Grundsätzlich lassen sich jedoch auch mit einem gut ausgearbeiteten Datenschutzkonzept, einer guten Compliance und einem kompetenten Ansprechpartner solche Vorfälle nicht 100% verhindern. Sie zeigen jedoch sowohl der Behörde, als auch den Betroffenen und unter Umständen der Öffentlichkeit, dass alle Maßnahmen ergriffen wurden um mögliche Schäden zu verhindern und einzugrenzen. Das ist es was letztendlich durch die DSGVO erreicht werden soll und im Schluss auch durch die Behörde, die Betroffenen und ggf. die Öffentlichkeit betrachtet und gewertet wird.

 

0

Your Cart