News - 3/9 - DatenschutzProfi24.de

IT’ler oder Rechtsanwalt für den Datenschutz?

Auf diese Frage kann man nicht so einfach antworten und muss verschiedene Aspekte betrachten ob man eher einen IT’ler oder Rechtsanwalt für den Datenschutz nehmen sollte.

Will man den Datenschutz im Unternehmen ernsthaft betreiben und sich entsprechend datenschutz-konform aufstellen, ist es wichtig einen Experten für den Datenschutz an der Hand zu haben.

Hierbei ist es erst einmal egal, ob der Experte von der IT-Seite oder der Rechtsseite kommt. Manchmal gibt es auch Datenschutz-Experten, die weder aus dem Fachgebiet der IT noch aus dem Fachgebiet des Rechts kommen.

Wichtig ist dabei nur, dass eine entsprechende Praxis und Knowhow im Datenschutz vorhanden ist und sich die Person des Vertrauens auf beiden Gebieten sehr gut auskennt und den Datenschutz auch richtig umsetzen kann um das Unternehmen in einen datenschutz-konformen Stand zu bringen und dieses Niveau auch zu halten. Nur aufgrund dieser Qualifikationen können Geldbußen und Abmahnungen in der Regel ausgeschlossen werden.

Drei Arten von Datenschutzbeauftragten

In der Regel gibt es drei Arten von Datenschutzbeauftragten, die man findet. Natürlich kann es auch weitere Arten geben, aber diese sind die am häufigsten anzutreffenden:

  1. Der IT’ler

Datenschutzbeauftragte, die von der IT-Seite kommend sich weitergebildet haben, sind in der Regel mit der technischen Seite vertraut, welche ein wichtiger und großer Bestandteil des Datenschutzes ist und wissen wie man die technischen und organisatorischen Maßnahmen im Unternehmen aufbauen muss um datenschutz-konform zu sein. Sie können Risiken von der IT abschätzen und entsprechende Maßnahmen in Bezug auf die IT-Sicherheit beurteilen und ggf. Änderungen aufgrund Ihres Wissens einfließen lassen.

Ist ein entsprechender Datenschutzbeauftragter langjährig tätig, so ist er normalerweise in der Lage die entsprechenden Gesetze / Vorschriften zu lesen und zu interpretieren, so dass es kein Problem darstellt, dass er kein Jurist ist. Dabei ist zu beachten, dass der IT’ler keine Rechtsberatung durchführen darf.

  1. Der Rechtsanwalt

Datenschutzbeauftragte, die von der Rechtsseite kommen, sind oft bereits Fachanwälte für IT-Recht und haben eine weitere Zusatzqualifikation zum Datenschutzbeauftragten gemacht. Einen entsprechenden Fachanwalt für Datenschutz gibt es nach momentanen Stand noch nicht.

Diese Datenschutzbeauftragten können selbstverständlich Gesetze lesen und interpretieren und können aufgrund ihres Berufes auch rechtsberatend tätig sein. Rechtsanwälte, müssen sich meistens jedoch in die technische Welt der IT / IT-Sicherheit einarbeiten, was in der Regel einige Zeit benötigt. Ein langjähriger Datenschutzbeauftragter von der Rechtsseite kann normalerweise diesen Bereich aufgrund seiner Praxiserfahrung sehr gut abdecken.

Eine entsprechende Auswahl von Fachanwälten für IT-Recht kann man z.B. auf www.fachanwalt.de finden.

  1. Kein IT’ler, kein Rechtsanwalt

Die dritte Art von Datenschutzbeauftragten, die man meist als interne Datenschutzbeauftragte im Unternehmen antrifft und nicht als externe Berater, sind aufgrund ihrer Ausbildung meistens keine IT’ler oder Rechtsanwälte. Diese Art hat es in der Regel schwieriger als die anderen beiden, da das Knowhow in beiden Gebieten aufgebaut werden muss. Hier ist es zumindest in der Anfangszeit ratsam sich durch die beiden anderen Experten unterstützen zu lassen, bis ein entsprechendes Knowhow aufgebaut worden ist.

Fazit

Für ein Unternehmen macht es in der Regel Sinn einen Experten für den Datenschutz zu nehmen, der aus den ersten beiden Bereichen kommt, da hier das Fachwissen zumindest in einem wichtigen Teilbereich von der Pike auf gelernt wurde. Hierbei macht es aber auch die Kombination. Viele Experten im Datenschutz arbeiten dabei Hand in Hand zusammen. Ein guter Datenschutzbeauftragter von der IT-Seite holt sich von Zeit zu Zeit Rat bei einem Rechtsanwalt um mit diesem Sachverhalte zu besprechen. Genauso holt ein Rechtsanwalt sich regelmäßigen Rat von einem IT-Kollegen ein, wenn es um die Technik geht.

Hilfe bei der Unterstützung im Datenschutz finden Sie unter:

Die Datenschutzprofis – www.datenschutzprofi24.de/ueber-uns

Rechtsanwälte – www.fachanwalt.de/rechtsanwalt/datenschutz

Spy-Ware- ein Datenschutzproblem

Mit Spy-Ware auf Firmenrechnern versuchen immer mehr Firmen das Verhalten ihrer Angestellten zu kontrollieren.

Überwachung total: Auf dem Dienst-PC eines Programmierers wurde eine Spy-Ware installiert. Dieser Keylogger registrierte und speicherte u.A. jeden Tastenanschlag des Mitarbeiters. Die Daten, die der Tastaturspion lieferte, nutzte der Arbeitgeber, um den Mann wegen Pflichtverletzungen vor die Tür zu setzen. Ein grober Verstoß gegen den Datenschutz und somit Rechtswidrig.

Einige Zeit zuvor informierte die Firma ihre Mitarbeiter, dass der Internetverkehr auf den Dienstcomputern „Ausgewertet und dauerhaft gespeichert wird“. Wer damit nicht einverstanden sei, solle sich melden. Installiert wurde jedoch ein Keylogger – eine Spy-Ware, die nicht einfach besuchte Internetseiten, sondern jeden Tastenanschlag protokolliert. Solche Programme werden im Netz angeboten. Hierbei wird jede Eingabe der Tastatur gespeichert, auch Private Korrespondenz und Passwörter in Klarschrift.

Wenige Tage später erhielt der Programmierer die Kündigung. Der Vorwurf: Die digitalen Daten hätten ergeben, er begehe Arbeitszeitbetrug… Den Vorwurf von Pflichtverletzungen wies er zurück; die Datenerhebung mit dem Keylogger sei unverhältnismäßig und zulässig.

Das Bundesarbeitsgericht hob wie die Vorinstanzen die Kündigung des Programmierers auf, obwohl eine Pflichtverletzung nicht ausgeschlossen wurde. Die Bundesrichter werteten die heimliche Installation des Keyloggers als so extremen Eingriff in Persönlichkeitsrechte, dass die gewonnenen Daten rechtswidrig seien. Sie dürften damit im gerichtlichen Verfahren nicht verwertet werden.

Quelle: https://spielraum.xing.com/2017/07/spaehsoftware-auf-firmenrechner-was-darf-mein-arbeitgeber-kontrollieren/?pid=b7237_cnwsl&xing_share=news

Wie sieht die Sachlage nach der EU-DSGVO aus?

Artikel 6 EU-DSGVO: Rechtmäßigkeit der Verarbeitung, Abs. 1: besagt: Die Verarbeitung ist nur rechtmäßig, wenn… Die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen odermehrere bestimmte Zwecke gegeben hat…

Artikel 7 EU-DSGVO Bedingungen für die Einwilligun g, Abs. 4 besagt: Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Die Vorab-Konsultierung des Datenschutzbeauftragten hätte hier bereits im Vorfeld für Klarheit gesorgt. Dieser stellt unter anderem die Verbindung zu der Bundes- und Landesaufsichtsbehörde her und klärt komplexe Probleme dieser Art. Dieser Umstand kann nach Ablauf der Umsetzungsfrist überlebenswichtig für ein Unternehmen sein, denn bis zu 4% des Jahresumsatzes als Höchststrafmaß sind eine nicht unbeträchtliche Belastung für ein Unternehmen.

Sprechen Sie mit dem Datenschutzbeauftragten Ihres Vertrauens.

 

Saugrobotter und Spion?

Wird der Saugrobotter zum (un)heimlichen Spion?

Bislang sammeln die Saugrobotter Daten über ihre Umgebung, vor allem um diese besser reinigen zu können. Bald sollen diese Daten aber von den Herstellern verkauft werden. Ein US-Hersteller will die Daten, die seine Staubsaugerroboter über die Wohnungen der Kunden gesammelt haben künftig auch an Amazon, Apple oder Google verkaufen. Solch ein Deal könnte bereits in den nächsten Jahren eingefädelt werden.

Das Fitness-Armbänder Daten sammeln, das unsere „Smarten“ Home-Geräte Daten sammeln … wir sind uns durchaus dieser Umstände bewusst. Viele nehmen das bereits hin, ohne sich näher Gedanken darüber zu machen. Das jetzt jedoch die Datensammler auch Grundrisse unserer Wohnungen und Häuser erhalten wirft doch einige Fragen auf. Zum Beispiel steht die große Frage im Raum ob allein durch die Inbetriebnahme eines Gerätes und deren Bedienteil (ob als App oder anderweitig) ein derart großer Eingriff in die Grundrechte rechtens ist. Trifft dies ja nicht nur den eigentlichen Nutzer, sondern auch alle anderen Mitbewohner und möglicherweise auch Kinder.

So wissen die großen Daten-Sammler der Zukunft nicht nur wie viele Personen im Wohnverbund wohnen (Einkaufsverhalten bei Amazon, E-Bay usw.), welchen Freizeit-Aktivitäten diese nachgehen (Fitness-Armband …), welcher Buch- und Musikgeschmack vorwiegt (Playlist … ), welche sexuellen Vorlieben die Bewohner haben … die Liste lässt sich zwischenzeitlich beliebig erweitern.

Jetzt soll auch hinzukommen, dass künftig auch Daten gesammelt werden wie groß die Wohnung ist, wie viele Zimmer vorhanden sind, auch wo welche Möbel stehen lässt sich aus den Daten lesen.

Und was sagt das Datenschutzgesetz dazu?

Artikel 5 EU-DSGVO Abs. 1, Personenbezogene Daten müssen … auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) … für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weiseweiterverarbeitet werden …

Artikel 6 EU-DSGVO besagt in Abs. 1: Die Verarbeitung ist nur rechtmäßig, wenn zutrifft das … die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat…

Diese Liste lässt sich beliebig erweitern. Eine derartige Datenverarbeitung lässt sich auch nicht mit dem Grundgesetz Artikel 13 „Die Wohnung ist unverletzlich…“ vereinen.

Die Frage die sich jeder stellen muss: wie schütze ich meine Daten, die meiner Familie, die meiner Kinder? Wie weit lassen sie derartige Dinge aus AGB`s und Datenschutzerklärungen filtern und wie verhindere ich das derartige Daten in Hände gelangen, die diese Missbrauchen können.

Auch wenn der Datenschutz und diejenigen die sich darum bemühen, noch von einigen belächelt werden. Es gibt bereits jetzt parallelen zu den Vorgängen im Umweltschutz. Wir wissen das sich einmal gemachte Fehler unter Umständen nicht wieder gutzumachen sind. Einmal erhobene Daten, in den Händen von wem auch immer … niemand kann uns garantieren das diese genutzt werden wie sie den jetzigen Regularien entsprechen.

Die besten Daten sind die, die keiner kennt. In diesem Sinne, sprechen Sie mit Ihrem Datenschutzbeauftragten

Weiteres zum Thema: https://www.heise.de/amp/meldung/Roomba-Hersteller-der-Staubsaugerroboter-will-Karten-der-Wohnungen-verkaufen-3782216.html

Die Regelung der Haftung in der EU-DSGVO

Die Regelung der Haftung in der EU-DSGVO

Die Bundesregierung arbeitet mit Hochdruck daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-DSGVO anzupassen. Was sich dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen, wie in der EU-DSGVO gefordert, stark angehoben werden.

Der Art. 83 Abs. 5 der DSGVO bietet unter anderem den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollen abschrecken und die Behörden sind aufgefordert grundsätzlich die maximale Bußgeldhöhe einzufordern.

In dem nunmehr eingebrachten Entwurf zum Datenschutz- Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sieht es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. So sieht das neue Umsetzungsgesetz Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor. Damit steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte.

Grundsätzlich sollte sich das Unternehmen also bereits vor Ende der Umsetzungsfrist um eine ausreichende Compliance im Unternehmen kümmern. Entscheidend ist beispielsweise auch, Management und Mitarbeiter in Bezug auf Datenschutz zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren.  Weiter sollte das Unternehmen genau prüfen, welche Daten es in ihrem Unternehmen gibt, durch wen und wie diese verarbeitet werden. Und ob eine Auftragsdatenverarbeitung vorliegt.

Diese Vorgehensweise ist sowohl für Auftraggeber, als auch für Auftragnehmer ein wichtiger Schritt. Gerade Auftragnehmer können hier bereits im Vorfeld durch die zur Verfügungstellung eines Datenschutzkonformen ADV (Vertrag zur Auftragsdatenverarbeitung) für Sicherheit im eigenen Unternehmen- und im Unternehmen des Auftraggebers sorgen und sich einen Wettbewerbsvorteil gegenüber der Mittbewerber sichern.

Besonders zu beachten ist nach wie vor der Umstand das, wenn ein Unternehmen besonders sensible Daten, erhebt oder übermittelt oder verarbeitet, es personenbezogene Daten geschäftsmäßig verarbeitet oder es mindestens zehn Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten – dann einen Datenschutzbeauftragten bestellt werden muss. Diese Vorgabe wurde sogar noch expliziter bezeichnet und erweitert.

Gerade für kleine und mittelständische Unternehmen ist es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Die Freistellung zur Erfüllung der Aufgabe, die Ausbildung zum zertifizierten Datenschutzbeauftragten, regelmäßige Weiterbildungen und Schulungen… alles sehr kosten- und zeitaufwendige Faktoren, ohne das dem eigentlichen Ziel der Datenschutzkonformität ein Schritt nähergekommen wird. Viele Unternehmen scheuen diese Aufgabe.

Die Bestellung eines externen Datenschutzbeauftragten kann hier eine gute Alternative sein. Sprechen Sie doch mit dem Datenschutzbeauftragten Ihres Vertrauens und nutzen Sie die Gelegenheit sich im Vorfeld zu Informieren.

 

Datenschutz und Cyberattacken

Und wieder haben Hacker einen neuen Angriff auf Computernetze gestartet. Mehrere große Konzerne in verschiedenen Ländern berichten von einer massiven beeinträchtigung. Wieder zeigt sich wie wichtig die Betrachtung von Datenschutz und Cyberattacken im Unternehmen ist.

Bereits im Mai hatte ein weltweiter Cyberangriff mit einem Computervirus namens WannaCry für einen erheblichen Schaden gesorgt. Betroffen waren etliche Unternehmen, unter anderem die Deutsche Bahn. Auch in der Zentrale des Nivea-Herstellers Beiersdorf in Hamburg ging zeitweise nichts mehr. Sowohl die Computer als auch die gesamte Telefonanlange funktionieren nicht. Viele Mitarbeiter haben frühzeitig Feierabend gemacht.

Die Zahl weiterer Firmen und Behörden, die Opfer des Angriffs wurden, stieg lawinenartig. Die rumänische Cyber-Sicherheitsfirma Bit Defender sprach von einem weltweiten Phänomen. Das Programm verbreite sich automatisch, ohne menschliches Zutun. Programme dieser Art werden Ransomware genannt. Mit ihnen verschlüsseln Erpresser Computer und verlangen für die Entschlüsselung Lösegeld. Wird keine Geldzahlung geleistet, werden die Daten gelöscht.

Die Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt und wurde im vergangenen Jahr von Hackern öffentlich gemacht. Es gibt zwar schon seit Monaten ein Update, das sie schließt und immer noch scheinen viele Firmen die Lücken in ihren Systemen nicht gestopft zu haben.

Und Jetzt?

Die Frage die sich stellt, ist eine sowohl einfache als auch existenzielle. Wie gut ist Ihr Unternehmen in Sachen Datenschutz und Cyberattacken aufgestellt? Werden alle möglichen und nötigen Updates in der Fachabteilung ausreichen geprüft und anschließend zeitnah in die Systeme eingepflegt? Und wir sprechen nicht nur von Servern, Laptops und Desktops. Viele Unternehmen übersehen das zu einem Gesamtheitlichen IT-Sicherheitskonzept auch Netzkomponenten, Telefonanlagen und Drucker gehören, um nur ein paar wenige zu nennen.

Beispielsweise nutzen viele Unternehmen „Bring Your Own Device“ (BYOD) und geben damit meist die Möglichkeit aus der Hand die mobilen Geräte in Ihr Sicherheitskonzept ausreichen einzubinden. Die Sicherung des Unternehmens mittels eines Firewalls und eines Virenkonzeptes ist einfach auszuhebeln, sobald sich ungenügend gesicherte, externe Geräte ins Netz einloggen können. Und auch das ist nur ein Beispiel von vielen Möglichkeiten.

Meine Empfehlung, sprechen Sie mit Ihrem IT-Leiter, Ihrem IT-Dienstleister und mit Ihrem Datenschutzbeauftragten und prüfen Sie Ihr Sicherheitskonzept.

Die DSGVO kommt immer näher

Die DSGVO kommt immer näher. Der Umsetzungstermin für die EU-Datenschutzgrundverordnung liegt nun kein Jahr mehr in der Zukunft. Unternehmen müssen sich bis zum 25. Mai 2018 auf diese eu-weite Vereinheitlichung des Datenschutzes umgestellt haben, ansonsten drohen stark erhöhte Bußgelder.

Dies notwendigen Anpassungen bzw. den Aufbau des Datenschutzes falls er noch gar nicht vorhanden ist, sollten Unternehmen nun nicht mehr auf die lange Bank schieben, da es viele neue Regelungen und Anforderungen gegenüber der bisherigen deutschen Gesetzgebung gibt und sehr stark erhöhte Bußgelder in der EU-DSGVO drohen können. Die entsprechende verbleibende Übergangszeit sollte nun konstruktiv und effizient von Unternehmen genutzt werden um die eigenen Prozesse zu analysieren um sie an die neuen Gegebenheiten der Verordnung anzupassen.

Es gibt viel zu tun!

Viele Sachverhalten ändern sich oder bekommen einen anderen Stellenwert in der DSGVO. Diese Veränderungen müssen nun angegangen werden.

Hier ein kleiner Auszug aus den Veränderungen:

  • Erhöhung der Anforderungen an die informierte, freiwilligen Einwilligung
  • Anforderung an den Widerruf wurden gesenkt
  • Dokumentation der Risikoeinschätzung
  • Erweiterung der Informations- und Auskunftspflichten
  • Portabilitätsverpflichtung
  • Erhöhung der Verantwortung bei Auftragsverarbeitern
  • Ausweitung der Meldepflicht bei Datenpannen
  • Verschärftes Kopplungsverbot
  • Bußgelder wurden stark erhöht

Nicht die Dienstleister vergessen!

Bitte beachten Sie dabei auch, dass an einigen Stellen des Umstellungsprozesses gegebenenfalls Zuarbeiten von Ihren Dienstleistern erfolgen müssen bzw. eine Zusammenarbeit notwendig macht, wenn diese Dienstleister für Ihr Unternehmen personenbezogene Daten verarbeitet. Auch diese Zusammenarbeit wird Zeit in Anspruch nehmen, so daß schnell ein paar Wochen ins Land gehen. Setzen Sie sich entsprechend früh mit Ihren Dienstleistern in Verbindung um auftretende Probleme im Datenschutz weitestgehend aus dem Weg zu gehen.

Falls Sie selbst als Dienstleister für andere Unternehmen personenbezogene Daten verarbeiten, so sollten Sie sich die entsprechenden Passagen in der EU-DSGVO dringend anschauen, da auch für die als Auftragsverarbeiter neue Regelungen in Kraft treten.

Wir unterstützen Sie!

Falls Sie auf diesem Weg Unterstützung benötigen, setzen Sie sich mit uns in Verbindung. Wir unterstützen Sie bei der Umstellung bzw. dem Aufbau Ihres Datenschutzes mit unseren versierten und zertifizierten Datenschutzbeauftragten und Datenschutzauditoren.

Die DSGVO kommt immer näher

– jetzt agieren statt später reagieren zu müssen!

 

Wozu auch noch einen Datenschutzkoordinator?

In vielen Unternehmen wird gerade damit begonnen die EU-DSGVO umzusetzen und dann kommt noch die Frage nach einem Datenschutzkoordinator.

Ob die Lösung der Aufgabe mittels eines internen oder externen Datenschutzbeauftragten erfolgt ist meist eine rein firmenpolitische Entscheidung der Geschäftsführung. Die Problematik in der Bewältigung der Aufgabe ist jedoch die gleiche. Der Datenschutzbeauftragte sollte vorwiegend eine beratende und prüfende Tätigkeit in der Umsetzung der Regularien haben. Dass sich die Geschäftsleitung wünscht, oder einfordert das der Datenschutzbeauftragten die Dokumente selbst erstellt und/oder beschafft, wirft jedoch dabei auch einige Probleme auf.

Sobald ich als Datenschutzbeauftragter in die entscheidenden Schritte eines Verfahrens direkt eingebunden bin, steht immer Zweifel offen, ob ich der gesetzlich geforderten Prüfpflicht in ausreichendem Maße und ungebunden Genüge leisten kann. Des Weiteren sind die Aufgaben und Tätigkeiten, gerade auch in mittlernen und großen Unternehmen, so vielfältig und Facettenreich das dies für eine einzelne Person möglicherweise nicht mehr umsetzbar ist.

Abhilfe schafft hier ein interner und fachlich kompetenter Ansprechpartner, der sowohl den Datenschutzbeauftragten, als auch die Geschäftsleitung und die Fachbereichsleitung unterstützen kann. Die Entlastung in den Fachabteilungen und die fachlich korrekte Zuarbeitung an den Datenschutzbeauftragten stellen jedoch auch hohe Anforderungen an den Datenschutzkoordinator. Dabei ist der Begriff des Datenschutzkoordinators rein rechtlich und auch sachlich nicht definiert.

Datenschutzkoordinatoren werden gewöhnlich im Datenschutz geschult und verfügen dadurch über eine gewisse Fachkunde im Bereich des Datenschutzes. Sie sind gerade deshalb in der Lage, den Datenschutzbeauftragten bei seinen Aufgaben zu unterstützen. Sie sammeln in den Fachabteilungen relevante Informationen, verwalten die Dokumentation, setzen Prozesse um und geben regelmäßige Reports an den Datenschutzbeauftragten.

Erfahrungsgemäß sind gerade auch interne Datenschutzbeauftragte nicht unbedingt die „Lieblinge“ der Geschäftsleitung. Denn Datenschutz ist unbequem,  kostet grundsätzlich Geld, benötigt einen nicht unerheblichen Zeitaufwand und bindet die Fachkräfte in den Fachabteilungen… die Liste kann noch lange fortgeführt werden.

Ein Datenschutzkoordinator beschleunigt Projekte

Ein Datenschutzkoordinator kann da jedoch unter Umständen Abhilfe schaffen. Eine beschleunigte Umsetzung der Projekte, eine geringere Ressourcenbindung in den Fachabteilungen und ein besseres und einfacheres Arbeitsumfeld, auch für den Datenschutzbeauftragten, egal ob Voll- oder Teilzeit, sind die Vorteile eines entsprechnden Mitarbeiters.

Der Datenschutzkoordinator kann den Datenschutzbeauftragten nicht ersetzen, aber gerade auch für einen externen Datenschutzbeauftragten ist ein derartiger Ansprechpartner ein effektiver Partner in der Umsetzung der gesetzlichen Vorgaben. Und gerade darauf kommt es auch der Geschäftsleitung an.

Haben Sie noch Fragen zur Tätigkeit eines Datenschutzkoordinators? Sprechen Sie uns.

Datenschutzbeauftragter / Datenschutzkoordinator Praxistag

Erfahren Sie in unserem 1tägigen Praxisseminar für Datenschutzbeauftragte und Datenschutzkoordinatoren wie Sie gekonnt die DSGVO in die Praxis umsetzen.

IoT – Internet der Dinge

Das Internet der Dinge, schon wieder machen wir uns Gedanken darum.

Jetzt wurde zu diesem Thema die erste Professur implementiert. Ein sehr aktuelles Thema, aber wenn wir ehrlich sind auch ein sehr wichtiges. All den großen und kleinen Helferlein an die wir uns bereits gewöhnt haben, all die Möglichkeiten die sich uns bieten und all die Möglichkeiten welche die Zukunft uns bereithält. Aber auch all die Gefahren die auf uns lauern.

Das Thema wurde ja grundsätzlich schon behandelt, trotzdem ist der Umstand das jetzt eine eigene Professur eingerichtet wurde ein Moment, in dem wir uns die Dringlichkeit des Themas noch einmal vor Auge führen sollten.

Der Kühlschrank der weis wann die Milch abläuft, weiß natürlich auch wieviel Milch ich so in der Regel auch verbrauche, schließlich regt er eine Neubestellung im Marketplace ja auch direkt an. Das kleine Helferlein das auf Sprachkommando prüft wie denn gerade das Wetter in Südtirol ist und auch gleich ein entsprechendes Hotel für die Unterkunft anbietet. Das Armband welches mir mitteilt wie viele schritte ich heute gelaufen bin…die Liste kann zwischenzeitlich schon endlos weitergeführt werden.

Endlich ist man sich aber auch der Dringlichkeit der Prävention und des Sicherheits-Aspektes so bewusst geworden das man hier auch auf akademische Ebene reagiert und einen Lehrstuhl und geziehlte Ausbildung anbietet. In Folge dürfen wir auch mit dafür ausgebildeten Spezialisten rechnen, die hoffentlich auch den Datenschutz im Auge haben und so auf die Umsetzung des Datenschutz-Niveaus hinarbeiten.

Dem gegenüber stehen aber leider, die in letzter Zeit auch die immer lauter werdenden Rufe von einigen Politikern, Parteien und sonstigen „besorgten“ Mitmenschen, die eine bessere Überwachung von „bestimmter“ Personen- und Personengruppen wünschen. Hört diese Überwachung dann bei Mobiltelefonen auf oder werden in Zukunft auch die Daten des IoT ausgewertet? Werde ich möglicherweise in Zukunft überwacht, weil kein Schweinefleisch in meinem Kühlschrank zu finden ist?

Stehe die neu ausgebildeten Fachkräfte auf der Seite der so teuer erkämpften EU-Datenschutzgrundverordnung oder suchen und implementieren sie Hintertüren in Anwendungen und zustimmungspflichtigen Agreements? Wie in vielen Dingen wird sich erst in der Zukunft zeigen wohin dieser Weg führt. Aber wir gehen wie immer vom Besten aus und hoffen das die Sicherheitsaspekte und -Konzepte zu unser aller Wohl umgesetzt werden.

Siehe dazu auch: https://www.futurezone.de/science/article210831981/Security-Professor-Das-Internet-der-Dinge-verlangt-ganz-neue-Sicherheitskonzepte.html?ref=sec

IT-Notfallplanung im Unternehmen

Eines der großen Themen, gerade auch in kleinen und mittelständischen Unternehmen ist die IT-Notfallplanung (wie beispielsweise der akute Vorfall mit dem Verschlüsselungstrojaner beweist). Der Erwägungsgrund 49 der EU-DSGVO spricht unter anderem von einem Berechtigtem Interesse an der Verarbeitung personenbezogener Daten zur Gewährleistung von Netz- und Informationssicherheit. Dem Entsprechend finden unter anderem der Artikel 6 und 32 der EU-DSGVO Anwendung.

Doch was heißt das für die betroffenen Unternehmen? Nun, es liegt in der Verantwortung und im Interesse der Geschäftsleitung abzuwägen wie „wichtig“ ihm eine entsprechende Planung und Vorsorge in der Notfallplanung ist. Im besten Fall stehen ein kompetenter Datenschutzbeauftragter, ein engagierter IT-Mitarbeiter oder fähiger IT-Leiter zur Seite und beraten einen aufgeschlossenen Betriebsleiter.

In den meisten Fällen wurde vormals dem IT-Leiter ein „mach doch mal“ entgegenhalten und die Verantwortung dafür auf Ihn abgewälzt. Natürlich darf diese Planung weder Ressourcen in Beschlag nehmen, noch darf dafür Geld aufgewendet werden. Und wenn dann doch was „schief“ geht ist der Angestellte der Verantwortliche (dachte zumindest der Geschäftsführer).

Doch ist das heute wirklich noch so? Ich denke die Zeiten in denen ein Geschäftsführer beratungsresistent alles ablehnt und verneint was Ihm nicht so wichtig erscheint, sind vorbei. Der Geschäftsführer von heute stellt sich seiner Verantwortung mit dem Wissen, das hier Fehler die Fortsetzung und Zukunft seines Unternehmens gefährden können. Entsprechend fordert, fördert und unterstützt er sein Team um, bei angemessenem finanziellem Aufwand, eine für Ihn tragbare und optimale Notfallplanung zu erstellen und umzusetzen.

Und wie stand vormals die Sachlage bei seinem Team? Hier spielte es meistens selten eine Rolle ob ein einzelner Mitarbeiter, ein ganzes Team oder ein externes Unternehmen die Verantwortung trägt. Verunsicherung ob der Planung und Umsetzung, vielleicht Angst etwas falsch zu machen, sich zu sehr auf die Finger sehen zu lassen und außerdem „hat man doch sonst genügend zu tun…“. Auch hier stieß die Forderung nach einer IT-Notfallplanung oft nicht auf die geforderte Gegenliebe.

Wozu also dieser Aufwand? Zum einem Fordert der Gesetzgeber hier eine klare Abwägung und Verantwortlichkeit. Zum anderen sind im Zeitalter der IT und der Elektronischen Medien die Gefahren, das ein kleines Ereignis den Betriebsablauf empfindlich stören sehr hoch. Nicht zu vergessen das bei diesen Störungen auch immer personenbezogene- oder beziehbare Daten betroffen sein könnten. Dies hätte unter Umständen dann zusätzlich weitreichende und schwerwiegende Folgen.

Für die Mitarbeiter der IT sind die Vorteile jedoch noch größer. Wenn für mögliche Ausfallszenarien bereits im Vorfeld geklärt ist wie damit verfahren wird, stellen sich keine Zweifel um die Verantwortung und Besteigung eines Problems. Man ist vorbereitet und kennt die Lösungswege um das Unternehmen schnell und konsequent wieder auf Linie zu bringen. Das schafft Sicherheit und erleichtert die Problembewältigung.

Mein Fazit: Nehmen Sie sich vorab Zeit die IT-Notfallplanung für Ihr Unternehmen zu überdenken, zu planen oder zu überprüfen. Und wenn der „Ernstfall“ erst eingetreten ist können Sie und Ihr Team lösungsorientiert und zielgerichtet agieren und müssen nicht panisch reagieren. Bei Fragen steht Ihnen Ihr Datenschutzbeauftragter oder IT-Sicherheitsbeauftragter gerne zur Verfügung.

Siehe hierzu auch: http://www.security-insider.de/it-notfallplanung-in-8-schritten-a-599029/?cmp=nl-36&uuid=98DD5691-D2B9-413E-A0E40EE32CA368DC

 

EU-DSGVO und BDSG-neu – Wege in die Umsetzung

Die Aktivitäten zur Umsetzung der EU-DSGVO nehmen immer mehr Fahrt auf. Das BDSG-neu ist verabschiedet und bereits vor der Verabschiedung in der Kritik. Ob die darin festgelegten Paragraphen den Vorgaben und Öffnungsklauseln der EU-DSGVO entsprechen wird angezweifelt. Darüber werden in den Nächsten Zeit jedoch die Gerichte entscheiden müssen.

Das macht es den Unternehmen nicht einfacher ihre bestehenden Maßnahmen in die EU-DSGVO und BDSG-neu umzusetzen und eine entsprechende Datenschutzkonformität sicher zu stellen. Wie also Vorgehen ist die entscheidende Frage.

Die Europäische Datenschutzgrundverordnung ist ein Übergeordnetes Gesetz. Somit empfiehlt es sich auf jeden Fall zunächst diese Erwägungsgründe und Artikel zu beachten, diese in die bestehende Compliance einzubinden und diese im anschluss umzusetzen. Allein diese Aufgabe stellt jedoch viele Unternehmen vor Probleme. Vor allem für diejenigen Unternehmen, die dem Datenschutz bislang nicht die nötige Aufmerksamkeit gewidmet haben. Wurde der Datenschutz bei vielen Unternehmen bislang noch vernachlässigt, können die Auswirkungen bei Datenverlusten oder anderen datenschutzrechtlichen Problematiken jetzt wirklich bedrohliche Maßnahmen nach sich ziehen. Und damit sind nicht nur die Strafen gemeint die das EU-DSGVO vorsieht.

Andererseits geben sich hier auch die Möglichkeit sich von Mitbewerbern und Konkurrenten hervorzuheben und sich abzugrenzen. Den daraus resultierenden Vorteil sehe ich jeden Tag. Bei einigen Dienstleistern ist ein großer Aufwand notwendig um einen Datenschutzkonformen Vertrag zur Auftragsdatenverarbeitung umzusetzen. Andere haben die Vorgaben bereits umgesetzt und stellen die notwendigen Unterlagen von sich aus zur Verfügung. Die Entscheidung, welchem Unternehmen ich den Vorzug geben würde ist hier eine einfache.

Wenn das Unternehmen nach der Europäischen Datenschutzgrundverordnung ausgerichtet ist, ist die erste Hürde bewältigt. Die weitere Umsetzung der BDSG-neu ist dann im Verhältnis ein relativ kleiner Schritt. Die vorhandenen Unterlagen werden dann nur mehr verfeinert und angepasst, sowie Erweiterungen eingebunden. Die Rechtliche Gültigkeit der Paragraphen liegt für uns außen vor, wir erfüllen hier die gesetzlichen Anforderungen. Dazu sind wir verpflichtet und daran halten wir uns, solange kein anderes übergeordnetes Gesetz vorliegt. Sollten irgendwann Richterliche, rechtskräftigte Beschlüsse und Urteile vorliegen, werden wir auch diese wie gefordert umsetzen.

Der Ablauf in der Umsetzung ist für uns damit geregelt. Ich denke auch für andere, an der Umsetzung interessierte Unternehmen. Sollten Sie fragen dazu haben hilft Ihnen Ihr Datenschutzbeauftragter bestimmt gerne weiter.

 

Übrigens, in der Umsetzung des LDSG (Landesdatenschutzgesetz), des StGB, des TMG und anderer für uns wichtige Gesetze und Richtlinien zum Datenschutz findet dieses Verfahren ebenso Anwendung.