News - 3/9 - DatenschutzProfi24.de

Datenschutz-Compliance nach der DSGVO

Eines der großen Themen die uns im Bereich der DSGVO beschäftigen ist die Datenschutz-Compliance. Die Planung, Einführung und letztendlich die datenschutzkonforme Überwachung aller Prozesse.

Die bislang nach BDSG ausgearbeiteten und gepflegten Checklisten und Unterlagen sind künftig nicht mehr ausreichend. Der Fokus der EU-DSGVO und der Behörden richtet sich auf andere Bereiche und auch der Ansatz zur Umsetzung der Vorgaben wurde angepasst. IT-Sicherheit, Risikoplanung, Risikoabschätzung und Prozessüberwachung sind nur einige der Stichpunkte der zur Betrachtung stehenden Thematiken. Viele der gerade auch kleinen- und mittelständischen Unternehmen sind jedoch gerade hier in der Umsetzung überfordert.

Die verantwortliche Stelle eines Unternehmens ist grundsätzlich die Geschäftsleitung. So ist die Geschäftsleitung des Unternehmens der erste Ansprechpartner für die Aufsichtsbehörden, sowie Verantwortlicher bei Datenschutzverstößen. Der Geschäftsführer kann die Verantwortung nicht an andere Stellen delegieren. Viele Geschäftsführer sind sich jedoch dessen immer noch nicht bewusst.

Die Einbeziehung des Datenschutzes in alle Belange des Unternehmens, in die Planung von Prozessen, die Umsetzung dieser Prozesse, letztendlich die Überwachung und Prüfung auf eventuelle Folgen von Datenschutzverstößen sind das Kernthema der DSGVO. Doch wie auch im Bereich der IT- und IT Sicherheit werden das die Geschäftsführer alleine nicht lösen können.

Es ist zwischenzeitlich Normalität das sich Unternehmen bei IT-Projekten die Hilfe externer, professioneller Unternehmen sichern. Angefangen bei der laufenden Wartung von Geräten bis zur Umsetzung komplexer Strukturierungen in Rechenzentren und Cloud-Diensten. Doch genauso Normalität muss es werden, das in alle Prozesse der Datenschutzbeauftragte als fachlich kompetenter Dienstleister der Geschäftsleitung eingebunden wird.

Die prozessorientierte Betrachtung und Einteilung beinhaltet drei Kernprozesse, datenschutzkonforme Verarbeitung, Sicherstellung der Betroffenenrechte und den Umgang mit Datenschutzverletzungen. Diese Prozesse lassen sich nicht im „Notfall“ aus dem Ärmel schütteln. Hier sind ausführliche Vorarbeiten Voraussetzung um zum Beispiel in einem Schadensfall sicher und Datenschutzkonform zu agieren. Wenn die Behörde wegen eines Vorfalles auf das Unternehmen aufmerksam geworden ist. Weil beispielsweise die Meldepflicht verletzt wurde, wird sich das künftig auch in der Höhe der Bußgelder wiederspiegeln, die von der Behörde verhängt werden MÜSSEN. Entsprechend sollte sich die Geschäftsleitung eines Unternehmens vorab absichern und die Pflichten der DSGVO ernstnehmen.

Grundsätzlich lassen sich jedoch auch mit einem gut ausgearbeiteten Datenschutzkonzept, einer guten Compliance und einem kompetenten Ansprechpartner solche Vorfälle nicht 100% verhindern. Sie zeigen jedoch sowohl der Behörde, als auch den Betroffenen und unter Umständen der Öffentlichkeit, dass alle Maßnahmen ergriffen wurden um mögliche Schäden zu verhindern und einzugrenzen. Das ist es was letztendlich durch die DSGVO erreicht werden soll und im Schluss auch durch die Behörde, die Betroffenen und ggf. die Öffentlichkeit betrachtet und gewertet wird.

 

Jedes fünfte IT-Unternehmen ignoriert die DSGVO

Noch wenige Monate bleiben bis zur Wirksamkeit der europäischen Datenschutz-Grundverordnung – DSGVO

Doch rund ein Fünftel der IT-Unternehmen hat sich noch nicht ausreichend mit der Thematik DSGVO befasst.

Nach einer Umfrage haben sich bislang rund 42% aller Unternehmen bereits mit der Thematik Datenschtuz-Grundverordnung befasst und beginnen zumindest mit der Planung einer Anpassung und Umsetzung an die bestehenden Regelungen. Von den IT- und Digitalunternehmen jedoch haben sich annähernd 20 % noch nicht mit den Anforderungen der Datenschutzgrundverordnung befasst.

Für die betroffenen Unternehmen tickt die Uhr. Nicht nur dass Sie das Unternehmen in den noch verbleibenden rund 35 Wochen fit für die neuen gesetzlichen Regelungen der EU machen müssen. Auch andere angepasste und geänderte Gesetze sind zur Beachtung der Compliance notwendig. Die der EU-Regulierungen angepassten Vorgaben der BDSG-neu und der Landesgesetze müssen umgesetzt werden… Telemediengesetz, Telekommunikationsgesetz, Risiko-Management, Gefahrenabwägung und BSI – IT-Grundschutz sind nur Stichpunkte zur Compliance die ein erfolgreiches Unternehmen im Auge haben sollte.

Doch was heißt das für die Auftraggeber?

Da sich jedes Unternehmen an die gesetzlichen Vorgaben zu halten hat, geraten auch die Auftraggeber dieser Unternehmen zunehmend unter Druck diese Vorgaben umzusetzen. Wenn der Dienstleister die vorgeschriebenen Sicherheiten und Garantien nicht vorweisen kann, beispielsweise in der Verfügbarmachung eines ordnungsgemäßen Vertrags zur Auftragsdatenverarbeitung (ADV) ist der Auftraggeber gezwungen sich an einen anderen Dienstleister zu wenden. Kein Geschäftsführer wird das Risiko tragen sich mit den Behörden auseinanderzusetzen, weil sein Dienstleister sich nicht rechtzeitig um die Einhaltung der gesetzlichen Vorgaben gekümmert hat.

Was bislang als Wettbewerbsvorteil gegolten hat wird zunehmend zum Hemmschuh der Kundenbindung bei fehlender Vorbereitung und Umsetzung.

Der Kernpunkt jedoch ist, dass viele technische Dienstleister und Unternehmer; gerade auch kleinerer und mittelständischer Unternehmen personell und zeitlich möglicherweise nicht in der Lage sind die Vorgaben datenschutzkonform und zeitnah umzusetzen. Hier droht eine Abwanderung der Kunden hin zu den großen Anbietern von IT-Dienstleistungen.

Abhilfe kann hier durch die Unterstützung eines spezialisierten externen Dienstleisters geschaffen werden. Dieser muss nicht unbedingt den Datenschutzbeauftragten stellen, insofern das betroffene Unternehmen gesetzlich nicht dazu verpflichtet ist. Hier geht es vorrangig um die personelle Unterstützung des Betriebes durch Fachkompetenz. Das Unternehmen entsprechend der Datenschutzgrundverordnung soweit fit zu machen das die geforderten Anforderungen umgesetzt werden und sich das Unternehmen seinem Kerngeschäft zuwenden kann. Das ist Ziel und Sinn der Einbeziehung eines externen Datenschutz-Dienstleisters in kleineren und mittelständischen Unternehmen.

Sie haben Fragen zu diesem Thema? Dann sprechen Sie uns an.

 

Homeoffice, mehr als ein Laptop

Homeoffice, mehr als ein Laptop im Wohnzimmer

Der Unterschied zwischen vielen Vorstellungen wie Homeoffice und die Realität aussehen müssen, ist groß. Bei vielen, gerade auch bei Personen die damit noch nichts zu tun hatten, steht der Gedanke im Raum, es sich im Wohnzimmer oder auf der Terrasse gemütlich zu machen und da in Ruhe vor sich hin zu Arbeiten.

Der Unterschied zur Realität ist gravierend. Die Einrichtung eines festen Bildschirmarbeitsplatzes, ein von der Wohnung abtrennbares Büro und die Sicherstellung des Datenschutzes sind einige der Erwägungsgründe mit denen sich der Arbeitgeber und der Arbeitnehmer beschäftigen müssen. Um den Anforderungen zu genügen muss der Raum beispielsweise ein Fenster mit Blick nach außen und genügend Platz, auch nach oben, bieten. Es ist sicher zu stellen das Dritte keinen Zugang zu personenbezogenen Daten erhalten. So ist es in Betracht zu ziehen, bei manchen Tätigkeiten einen verschließbaren Büroschrank vorzuweisen, oder einen eigenen abschließbaren Raum, für die Tätigkeit zu nutzen. Streng genommen muss der Arbeitgeber vorab eine Gefährdungsbeurteilung für diese Tätigkeit vornehmen.

Der Arbeitgeber ist verpflichtet den Arbeitsplatz so ein zu richten wie einen betrieblichen Arbeitsplatz. So gehören Schreibtisch, PC oder Laptop, Drucker, Telefon und Internetanschluss zu den Arbeitsmaterialien, die der Arbeitgeber zur Verfügung stellen muss. Auch empfiehlt sich eine schriftliche Regelung zur Nutzung der Liegenschaften denn Wohnraum ist oftmals auch teuer. Und auch die Nebenkosten sind im Verhältnis zu betrachten.

Der Arbeitnehmer hat natürlich im Gegenzug auch die Verpflichtung, die im Arbeitsvertrag festgelegten Regeln einzuhalten. Arbeitszeit, Verfügbarkeit und Zielerreichung müssen gewährleistet sein. Deshalb empfiehlt sich auch hier eine strikte und schriftlich festgelegte Regelung.

Für den Arbeitnehmer ist auch ab zu wägen ob er diese Vorgaben auch umsetzen kann. Es ist schön sich einen halben Tag Zeit für private Dinge zu nehmen und die Zeit am Wochenende wieder herein zu arbeiten. Ein verantwortungsvoller Arbeitnehmer hält sich an die Regelungen um die Ziele des Unternehmens zu erreichen. Der Schuss kann jedoch auch nach hinten losgehen. Die Einhaltung der Regelarbeitszeit und der gesetzlich vorgeschriebenen Pausen ist auch im Homeoffice Bereich zu beachten. Vielen Mitarbeitern, gerade mit Project Bindung, fällt es zunehmend schwer die Arbeit für den Tag, die Woche… dann auch ab zu schließen. Ein Umstand der in einem regulären Büro leichter fällt.

Das heutige Fazit ist, die Umsetzung eines Homeoffice Arbeitsplatz sollte von Arbeitgebern und Arbeitnehmern gut abgewogen werden. Es ist für den Arbeitnehmer ökologisch und ökonomisch von Vorteil sich die Fahrten von und zum Arbeitsplatz zu sparen. Und für den Arbeitgeber ist es von Vorteil, gerade auch in Ballungsgebieten,  Büroarbeitsplätze zu sparen und den moralischen Zugewinn zu nutzen. Für beide gilt es, die Rahmenbedingungen vorab gut abzuwägen und schriftlich zu fixieren. Unter Betrachtung des Datenschutzes steht dann einem gut funktionierenden Homeoffice nichts im Weg.

Fragen Sie Ihren Datenschutzbeauftragten

 

Siehe auch:

http://karrierebibel.de/home-office-tipps/

 

IT’ler oder Rechtsanwalt für den Datenschutz?

Auf diese Frage kann man nicht so einfach antworten und muss verschiedene Aspekte betrachten ob man eher einen IT’ler oder Rechtsanwalt für den Datenschutz nehmen sollte.

Will man den Datenschutz im Unternehmen ernsthaft betreiben und sich entsprechend datenschutz-konform aufstellen, ist es wichtig einen Experten für den Datenschutz an der Hand zu haben.

Hierbei ist es erst einmal egal, ob der Experte von der IT-Seite oder der Rechtsseite kommt. Manchmal gibt es auch Datenschutz-Experten, die weder aus dem Fachgebiet der IT noch aus dem Fachgebiet des Rechts kommen.

Wichtig ist dabei nur, dass eine entsprechende Praxis und Knowhow im Datenschutz vorhanden ist und sich die Person des Vertrauens auf beiden Gebieten sehr gut auskennt und den Datenschutz auch richtig umsetzen kann um das Unternehmen in einen datenschutz-konformen Stand zu bringen und dieses Niveau auch zu halten. Nur aufgrund dieser Qualifikationen können Geldbußen und Abmahnungen in der Regel ausgeschlossen werden.

Drei Arten von Datenschutzbeauftragten

In der Regel gibt es drei Arten von Datenschutzbeauftragten, die man findet. Natürlich kann es auch weitere Arten geben, aber diese sind die am häufigsten anzutreffenden:

  1. Der IT’ler

Datenschutzbeauftragte, die von der IT-Seite kommend sich weitergebildet haben, sind in der Regel mit der technischen Seite vertraut, welche ein wichtiger und großer Bestandteil des Datenschutzes ist und wissen wie man die technischen und organisatorischen Maßnahmen im Unternehmen aufbauen muss um datenschutz-konform zu sein. Sie können Risiken von der IT abschätzen und entsprechende Maßnahmen in Bezug auf die IT-Sicherheit beurteilen und ggf. Änderungen aufgrund Ihres Wissens einfließen lassen.

Ist ein entsprechender Datenschutzbeauftragter langjährig tätig, so ist er normalerweise in der Lage die entsprechenden Gesetze / Vorschriften zu lesen und zu interpretieren, so dass es kein Problem darstellt, dass er kein Jurist ist. Dabei ist zu beachten, dass der IT’ler keine Rechtsberatung durchführen darf.

  1. Der Rechtsanwalt

Datenschutzbeauftragte, die von der Rechtsseite kommen, sind oft bereits Fachanwälte für IT-Recht und haben eine weitere Zusatzqualifikation zum Datenschutzbeauftragten gemacht. Einen entsprechenden Fachanwalt für Datenschutz gibt es nach momentanen Stand noch nicht.

Diese Datenschutzbeauftragten können selbstverständlich Gesetze lesen und interpretieren und können aufgrund ihres Berufes auch rechtsberatend tätig sein. Rechtsanwälte, müssen sich meistens jedoch in die technische Welt der IT / IT-Sicherheit einarbeiten, was in der Regel einige Zeit benötigt. Ein langjähriger Datenschutzbeauftragter von der Rechtsseite kann normalerweise diesen Bereich aufgrund seiner Praxiserfahrung sehr gut abdecken.

Eine entsprechende Auswahl von Fachanwälten für IT-Recht kann man z.B. auf www.fachanwalt.de finden.

  1. Kein IT’ler, kein Rechtsanwalt

Die dritte Art von Datenschutzbeauftragten, die man meist als interne Datenschutzbeauftragte im Unternehmen antrifft und nicht als externe Berater, sind aufgrund ihrer Ausbildung meistens keine IT’ler oder Rechtsanwälte. Diese Art hat es in der Regel schwieriger als die anderen beiden, da das Knowhow in beiden Gebieten aufgebaut werden muss. Hier ist es zumindest in der Anfangszeit ratsam sich durch die beiden anderen Experten unterstützen zu lassen, bis ein entsprechendes Knowhow aufgebaut worden ist.

Fazit

Für ein Unternehmen macht es in der Regel Sinn einen Experten für den Datenschutz zu nehmen, der aus den ersten beiden Bereichen kommt, da hier das Fachwissen zumindest in einem wichtigen Teilbereich von der Pike auf gelernt wurde. Hierbei macht es aber auch die Kombination. Viele Experten im Datenschutz arbeiten dabei Hand in Hand zusammen. Ein guter Datenschutzbeauftragter von der IT-Seite holt sich von Zeit zu Zeit Rat bei einem Rechtsanwalt um mit diesem Sachverhalte zu besprechen. Genauso holt ein Rechtsanwalt sich regelmäßigen Rat von einem IT-Kollegen ein, wenn es um die Technik geht.

Hilfe bei der Unterstützung im Datenschutz finden Sie unter:

Die Datenschutzprofis – www.datenschutzprofi24.de/ueber-uns

Rechtsanwälte – www.fachanwalt.de/rechtsanwalt/datenschutz

Spy-Ware- ein Datenschutzproblem

Mit Spy-Ware auf Firmenrechnern versuchen immer mehr Firmen das Verhalten ihrer Angestellten zu kontrollieren.

Überwachung total: Auf dem Dienst-PC eines Programmierers wurde eine Spy-Ware installiert. Dieser Keylogger registrierte und speicherte u.A. jeden Tastenanschlag des Mitarbeiters. Die Daten, die der Tastaturspion lieferte, nutzte der Arbeitgeber, um den Mann wegen Pflichtverletzungen vor die Tür zu setzen. Ein grober Verstoß gegen den Datenschutz und somit Rechtswidrig.

Einige Zeit zuvor informierte die Firma ihre Mitarbeiter, dass der Internetverkehr auf den Dienstcomputern „Ausgewertet und dauerhaft gespeichert wird“. Wer damit nicht einverstanden sei, solle sich melden. Installiert wurde jedoch ein Keylogger – eine Spy-Ware, die nicht einfach besuchte Internetseiten, sondern jeden Tastenanschlag protokolliert. Solche Programme werden im Netz angeboten. Hierbei wird jede Eingabe der Tastatur gespeichert, auch Private Korrespondenz und Passwörter in Klarschrift.

Wenige Tage später erhielt der Programmierer die Kündigung. Der Vorwurf: Die digitalen Daten hätten ergeben, er begehe Arbeitszeitbetrug… Den Vorwurf von Pflichtverletzungen wies er zurück; die Datenerhebung mit dem Keylogger sei unverhältnismäßig und zulässig.

Das Bundesarbeitsgericht hob wie die Vorinstanzen die Kündigung des Programmierers auf, obwohl eine Pflichtverletzung nicht ausgeschlossen wurde. Die Bundesrichter werteten die heimliche Installation des Keyloggers als so extremen Eingriff in Persönlichkeitsrechte, dass die gewonnenen Daten rechtswidrig seien. Sie dürften damit im gerichtlichen Verfahren nicht verwertet werden.

Quelle: https://spielraum.xing.com/2017/07/spaehsoftware-auf-firmenrechner-was-darf-mein-arbeitgeber-kontrollieren/?pid=b7237_cnwsl&xing_share=news

Wie sieht die Sachlage nach der EU-DSGVO aus?

Artikel 6 EU-DSGVO: Rechtmäßigkeit der Verarbeitung, Abs. 1: besagt: Die Verarbeitung ist nur rechtmäßig, wenn… Die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen odermehrere bestimmte Zwecke gegeben hat…

Artikel 7 EU-DSGVO Bedingungen für die Einwilligun g, Abs. 4 besagt: Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Die Vorab-Konsultierung des Datenschutzbeauftragten hätte hier bereits im Vorfeld für Klarheit gesorgt. Dieser stellt unter anderem die Verbindung zu der Bundes- und Landesaufsichtsbehörde her und klärt komplexe Probleme dieser Art. Dieser Umstand kann nach Ablauf der Umsetzungsfrist überlebenswichtig für ein Unternehmen sein, denn bis zu 4% des Jahresumsatzes als Höchststrafmaß sind eine nicht unbeträchtliche Belastung für ein Unternehmen.

Sprechen Sie mit dem Datenschutzbeauftragten Ihres Vertrauens.

 

Saugrobotter und Spion?

Wird der Saugrobotter zum (un)heimlichen Spion?

Bislang sammeln die Saugrobotter Daten über ihre Umgebung, vor allem um diese besser reinigen zu können. Bald sollen diese Daten aber von den Herstellern verkauft werden. Ein US-Hersteller will die Daten, die seine Staubsaugerroboter über die Wohnungen der Kunden gesammelt haben künftig auch an Amazon, Apple oder Google verkaufen. Solch ein Deal könnte bereits in den nächsten Jahren eingefädelt werden.

Das Fitness-Armbänder Daten sammeln, das unsere „Smarten“ Home-Geräte Daten sammeln … wir sind uns durchaus dieser Umstände bewusst. Viele nehmen das bereits hin, ohne sich näher Gedanken darüber zu machen. Das jetzt jedoch die Datensammler auch Grundrisse unserer Wohnungen und Häuser erhalten wirft doch einige Fragen auf. Zum Beispiel steht die große Frage im Raum ob allein durch die Inbetriebnahme eines Gerätes und deren Bedienteil (ob als App oder anderweitig) ein derart großer Eingriff in die Grundrechte rechtens ist. Trifft dies ja nicht nur den eigentlichen Nutzer, sondern auch alle anderen Mitbewohner und möglicherweise auch Kinder.

So wissen die großen Daten-Sammler der Zukunft nicht nur wie viele Personen im Wohnverbund wohnen (Einkaufsverhalten bei Amazon, E-Bay usw.), welchen Freizeit-Aktivitäten diese nachgehen (Fitness-Armband …), welcher Buch- und Musikgeschmack vorwiegt (Playlist … ), welche sexuellen Vorlieben die Bewohner haben … die Liste lässt sich zwischenzeitlich beliebig erweitern.

Jetzt soll auch hinzukommen, dass künftig auch Daten gesammelt werden wie groß die Wohnung ist, wie viele Zimmer vorhanden sind, auch wo welche Möbel stehen lässt sich aus den Daten lesen.

Und was sagt das Datenschutzgesetz dazu?

Artikel 5 EU-DSGVO Abs. 1, Personenbezogene Daten müssen … auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) … für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weiseweiterverarbeitet werden …

Artikel 6 EU-DSGVO besagt in Abs. 1: Die Verarbeitung ist nur rechtmäßig, wenn zutrifft das … die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat…

Diese Liste lässt sich beliebig erweitern. Eine derartige Datenverarbeitung lässt sich auch nicht mit dem Grundgesetz Artikel 13 „Die Wohnung ist unverletzlich…“ vereinen.

Die Frage die sich jeder stellen muss: wie schütze ich meine Daten, die meiner Familie, die meiner Kinder? Wie weit lassen sie derartige Dinge aus AGB`s und Datenschutzerklärungen filtern und wie verhindere ich das derartige Daten in Hände gelangen, die diese Missbrauchen können.

Auch wenn der Datenschutz und diejenigen die sich darum bemühen, noch von einigen belächelt werden. Es gibt bereits jetzt parallelen zu den Vorgängen im Umweltschutz. Wir wissen das sich einmal gemachte Fehler unter Umständen nicht wieder gutzumachen sind. Einmal erhobene Daten, in den Händen von wem auch immer … niemand kann uns garantieren das diese genutzt werden wie sie den jetzigen Regularien entsprechen.

Die besten Daten sind die, die keiner kennt. In diesem Sinne, sprechen Sie mit Ihrem Datenschutzbeauftragten

Weiteres zum Thema: https://www.heise.de/amp/meldung/Roomba-Hersteller-der-Staubsaugerroboter-will-Karten-der-Wohnungen-verkaufen-3782216.html

Die Regelung der Haftung in der EU-DSGVO

Die Regelung der Haftung in der EU-DSGVO

Die Bundesregierung arbeitet mit Hochdruck daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-DSGVO anzupassen. Was sich dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen, wie in der EU-DSGVO gefordert, stark angehoben werden.

Der Art. 83 Abs. 5 der DSGVO bietet unter anderem den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollen abschrecken und die Behörden sind aufgefordert grundsätzlich die maximale Bußgeldhöhe einzufordern.

In dem nunmehr eingebrachten Entwurf zum Datenschutz- Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sieht es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. So sieht das neue Umsetzungsgesetz Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor. Damit steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte.

Grundsätzlich sollte sich das Unternehmen also bereits vor Ende der Umsetzungsfrist um eine ausreichende Compliance im Unternehmen kümmern. Entscheidend ist beispielsweise auch, Management und Mitarbeiter in Bezug auf Datenschutz zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren.  Weiter sollte das Unternehmen genau prüfen, welche Daten es in ihrem Unternehmen gibt, durch wen und wie diese verarbeitet werden. Und ob eine Auftragsdatenverarbeitung vorliegt.

Diese Vorgehensweise ist sowohl für Auftraggeber, als auch für Auftragnehmer ein wichtiger Schritt. Gerade Auftragnehmer können hier bereits im Vorfeld durch die zur Verfügungstellung eines Datenschutzkonformen ADV (Vertrag zur Auftragsdatenverarbeitung) für Sicherheit im eigenen Unternehmen- und im Unternehmen des Auftraggebers sorgen und sich einen Wettbewerbsvorteil gegenüber der Mittbewerber sichern.

Besonders zu beachten ist nach wie vor der Umstand das, wenn ein Unternehmen besonders sensible Daten, erhebt oder übermittelt oder verarbeitet, es personenbezogene Daten geschäftsmäßig verarbeitet oder es mindestens zehn Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten – dann einen Datenschutzbeauftragten bestellt werden muss. Diese Vorgabe wurde sogar noch expliziter bezeichnet und erweitert.

Gerade für kleine und mittelständische Unternehmen ist es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Die Freistellung zur Erfüllung der Aufgabe, die Ausbildung zum zertifizierten Datenschutzbeauftragten, regelmäßige Weiterbildungen und Schulungen… alles sehr kosten- und zeitaufwendige Faktoren, ohne das dem eigentlichen Ziel der Datenschutzkonformität ein Schritt nähergekommen wird. Viele Unternehmen scheuen diese Aufgabe.

Die Bestellung eines externen Datenschutzbeauftragten kann hier eine gute Alternative sein. Sprechen Sie doch mit dem Datenschutzbeauftragten Ihres Vertrauens und nutzen Sie die Gelegenheit sich im Vorfeld zu Informieren.

 

Datenschutz und Cyberattacken

Und wieder haben Hacker einen neuen Angriff auf Computernetze gestartet. Mehrere große Konzerne in verschiedenen Ländern berichten von einer massiven beeinträchtigung. Wieder zeigt sich wie wichtig die Betrachtung von Datenschutz und Cyberattacken im Unternehmen ist.

Bereits im Mai hatte ein weltweiter Cyberangriff mit einem Computervirus namens WannaCry für einen erheblichen Schaden gesorgt. Betroffen waren etliche Unternehmen, unter anderem die Deutsche Bahn. Auch in der Zentrale des Nivea-Herstellers Beiersdorf in Hamburg ging zeitweise nichts mehr. Sowohl die Computer als auch die gesamte Telefonanlange funktionieren nicht. Viele Mitarbeiter haben frühzeitig Feierabend gemacht.

Die Zahl weiterer Firmen und Behörden, die Opfer des Angriffs wurden, stieg lawinenartig. Die rumänische Cyber-Sicherheitsfirma Bit Defender sprach von einem weltweiten Phänomen. Das Programm verbreite sich automatisch, ohne menschliches Zutun. Programme dieser Art werden Ransomware genannt. Mit ihnen verschlüsseln Erpresser Computer und verlangen für die Entschlüsselung Lösegeld. Wird keine Geldzahlung geleistet, werden die Daten gelöscht.

Die Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt und wurde im vergangenen Jahr von Hackern öffentlich gemacht. Es gibt zwar schon seit Monaten ein Update, das sie schließt und immer noch scheinen viele Firmen die Lücken in ihren Systemen nicht gestopft zu haben.

Und Jetzt?

Die Frage die sich stellt, ist eine sowohl einfache als auch existenzielle. Wie gut ist Ihr Unternehmen in Sachen Datenschutz und Cyberattacken aufgestellt? Werden alle möglichen und nötigen Updates in der Fachabteilung ausreichen geprüft und anschließend zeitnah in die Systeme eingepflegt? Und wir sprechen nicht nur von Servern, Laptops und Desktops. Viele Unternehmen übersehen das zu einem Gesamtheitlichen IT-Sicherheitskonzept auch Netzkomponenten, Telefonanlagen und Drucker gehören, um nur ein paar wenige zu nennen.

Beispielsweise nutzen viele Unternehmen „Bring Your Own Device“ (BYOD) und geben damit meist die Möglichkeit aus der Hand die mobilen Geräte in Ihr Sicherheitskonzept ausreichen einzubinden. Die Sicherung des Unternehmens mittels eines Firewalls und eines Virenkonzeptes ist einfach auszuhebeln, sobald sich ungenügend gesicherte, externe Geräte ins Netz einloggen können. Und auch das ist nur ein Beispiel von vielen Möglichkeiten.

Meine Empfehlung, sprechen Sie mit Ihrem IT-Leiter, Ihrem IT-Dienstleister und mit Ihrem Datenschutzbeauftragten und prüfen Sie Ihr Sicherheitskonzept.

Die DSGVO kommt immer näher

Die DSGVO kommt immer näher. Der Umsetzungstermin für die EU-Datenschutzgrundverordnung liegt nun kein Jahr mehr in der Zukunft. Unternehmen müssen sich bis zum 25. Mai 2018 auf diese eu-weite Vereinheitlichung des Datenschutzes umgestellt haben, ansonsten drohen stark erhöhte Bußgelder.

Dies notwendigen Anpassungen bzw. den Aufbau des Datenschutzes falls er noch gar nicht vorhanden ist, sollten Unternehmen nun nicht mehr auf die lange Bank schieben, da es viele neue Regelungen und Anforderungen gegenüber der bisherigen deutschen Gesetzgebung gibt und sehr stark erhöhte Bußgelder in der EU-DSGVO drohen können. Die entsprechende verbleibende Übergangszeit sollte nun konstruktiv und effizient von Unternehmen genutzt werden um die eigenen Prozesse zu analysieren um sie an die neuen Gegebenheiten der Verordnung anzupassen.

Es gibt viel zu tun!

Viele Sachverhalten ändern sich oder bekommen einen anderen Stellenwert in der DSGVO. Diese Veränderungen müssen nun angegangen werden.

Hier ein kleiner Auszug aus den Veränderungen:

  • Erhöhung der Anforderungen an die informierte, freiwilligen Einwilligung
  • Anforderung an den Widerruf wurden gesenkt
  • Dokumentation der Risikoeinschätzung
  • Erweiterung der Informations- und Auskunftspflichten
  • Portabilitätsverpflichtung
  • Erhöhung der Verantwortung bei Auftragsverarbeitern
  • Ausweitung der Meldepflicht bei Datenpannen
  • Verschärftes Kopplungsverbot
  • Bußgelder wurden stark erhöht

Nicht die Dienstleister vergessen!

Bitte beachten Sie dabei auch, dass an einigen Stellen des Umstellungsprozesses gegebenenfalls Zuarbeiten von Ihren Dienstleistern erfolgen müssen bzw. eine Zusammenarbeit notwendig macht, wenn diese Dienstleister für Ihr Unternehmen personenbezogene Daten verarbeitet. Auch diese Zusammenarbeit wird Zeit in Anspruch nehmen, so daß schnell ein paar Wochen ins Land gehen. Setzen Sie sich entsprechend früh mit Ihren Dienstleistern in Verbindung um auftretende Probleme im Datenschutz weitestgehend aus dem Weg zu gehen.

Falls Sie selbst als Dienstleister für andere Unternehmen personenbezogene Daten verarbeiten, so sollten Sie sich die entsprechenden Passagen in der EU-DSGVO dringend anschauen, da auch für die als Auftragsverarbeiter neue Regelungen in Kraft treten.

Wir unterstützen Sie!

Falls Sie auf diesem Weg Unterstützung benötigen, setzen Sie sich mit uns in Verbindung. Wir unterstützen Sie bei der Umstellung bzw. dem Aufbau Ihres Datenschutzes mit unseren versierten und zertifizierten Datenschutzbeauftragten und Datenschutzauditoren.

Die DSGVO kommt immer näher

– jetzt agieren statt später reagieren zu müssen!

 

Wozu auch noch einen Datenschutzkoordinator?

In vielen Unternehmen wird gerade damit begonnen die EU-DSGVO umzusetzen und dann kommt noch die Frage nach einem Datenschutzkoordinator.

Ob die Lösung der Aufgabe mittels eines internen oder externen Datenschutzbeauftragten erfolgt ist meist eine rein firmenpolitische Entscheidung der Geschäftsführung. Die Problematik in der Bewältigung der Aufgabe ist jedoch die gleiche. Der Datenschutzbeauftragte sollte vorwiegend eine beratende und prüfende Tätigkeit in der Umsetzung der Regularien haben. Dass sich die Geschäftsleitung wünscht, oder einfordert das der Datenschutzbeauftragten die Dokumente selbst erstellt und/oder beschafft, wirft jedoch dabei auch einige Probleme auf.

Sobald ich als Datenschutzbeauftragter in die entscheidenden Schritte eines Verfahrens direkt eingebunden bin, steht immer Zweifel offen, ob ich der gesetzlich geforderten Prüfpflicht in ausreichendem Maße und ungebunden Genüge leisten kann. Des Weiteren sind die Aufgaben und Tätigkeiten, gerade auch in mittlernen und großen Unternehmen, so vielfältig und Facettenreich das dies für eine einzelne Person möglicherweise nicht mehr umsetzbar ist.

Abhilfe schafft hier ein interner und fachlich kompetenter Ansprechpartner, der sowohl den Datenschutzbeauftragten, als auch die Geschäftsleitung und die Fachbereichsleitung unterstützen kann. Die Entlastung in den Fachabteilungen und die fachlich korrekte Zuarbeitung an den Datenschutzbeauftragten stellen jedoch auch hohe Anforderungen an den Datenschutzkoordinator. Dabei ist der Begriff des Datenschutzkoordinators rein rechtlich und auch sachlich nicht definiert.

Datenschutzkoordinatoren werden gewöhnlich im Datenschutz geschult und verfügen dadurch über eine gewisse Fachkunde im Bereich des Datenschutzes. Sie sind gerade deshalb in der Lage, den Datenschutzbeauftragten bei seinen Aufgaben zu unterstützen. Sie sammeln in den Fachabteilungen relevante Informationen, verwalten die Dokumentation, setzen Prozesse um und geben regelmäßige Reports an den Datenschutzbeauftragten.

Erfahrungsgemäß sind gerade auch interne Datenschutzbeauftragte nicht unbedingt die „Lieblinge“ der Geschäftsleitung. Denn Datenschutz ist unbequem,  kostet grundsätzlich Geld, benötigt einen nicht unerheblichen Zeitaufwand und bindet die Fachkräfte in den Fachabteilungen… die Liste kann noch lange fortgeführt werden.

Ein Datenschutzkoordinator beschleunigt Projekte

Ein Datenschutzkoordinator kann da jedoch unter Umständen Abhilfe schaffen. Eine beschleunigte Umsetzung der Projekte, eine geringere Ressourcenbindung in den Fachabteilungen und ein besseres und einfacheres Arbeitsumfeld, auch für den Datenschutzbeauftragten, egal ob Voll- oder Teilzeit, sind die Vorteile eines entsprechnden Mitarbeiters.

Der Datenschutzkoordinator kann den Datenschutzbeauftragten nicht ersetzen, aber gerade auch für einen externen Datenschutzbeauftragten ist ein derartiger Ansprechpartner ein effektiver Partner in der Umsetzung der gesetzlichen Vorgaben. Und gerade darauf kommt es auch der Geschäftsleitung an.

Haben Sie noch Fragen zur Tätigkeit eines Datenschutzkoordinators? Sprechen Sie uns.

Datenschutzbeauftragter / Datenschutzkoordinator Praxistag

Erfahren Sie in unserem 1tägigen Praxisseminar für Datenschutzbeauftragte und Datenschutzkoordinatoren wie Sie gekonnt die DSGVO in die Praxis umsetzen.