So funktioniert die Datenschutz­folgenabschätzung (Anleitung)

Bei der Verarbeitung personenbezogener Daten muss das Datenschutzrecht beachtet werden – ganz gleich, ob es sich um vermeintlich „harmlose“ Daten handelt, wie etwa die berufliche E-Mailadresse eines Mitarbeiters, oder aber besonders „schützenswerte“, wie dessen sexuelle Vorlieben. Trotzdem ist nicht jedes Datum gleichermaßen schutzwürdig und nicht jede Datenverarbeitung greift gleichermaßen stark in das Persönlichkeitsrecht des Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Unternehmen die Risiken und Folgen evaluieren, die für Betroffene (z. B. Mitarbeiter) aus Datenverarbeitungen folgen können. Wird eine DSFA nicht oder nur unzureichend durchgeführt, drohen dem Unternehmen ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes und / oder ein Verbot der Datenverarbeitung. Wann eine Datenschutz-Folgenabschätzung notwendig wird und was sie enthalten muss, lesen Sie in diesem Artikel.

Bei welchen Datenverarbeitungen muss eine DSFA durchgeführt werden?

Die Datenschutz-Folgenabschätzung wird in Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) definiert. Sie ist in folgenden Fällen stets erforderlich:

  1. Mit der Datenverarbeitung soll die Persönlichkeit des Betroffenen systematisch und automatisiert bewertet werden, so dass rechtliche oder andere intensive Eingriffe in die Persönlichkeit des Betroffenen möglich werden.
  2. Es sollen umfangreich besondere Kategorien personenbezogener Daten oder aber Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden. Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Art. 9 DSGVO:
    1. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
    2. Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung des Betroffenen;
    3. genetische und biometrische Daten, sofern mit Ihnen eine einzelne Person identifiziert werden kann.
  3. Ein möglicher Anwendungsfall ist hier die Durchführung von unternehmensinternen Ermittlungen gegen Mitarbeiter – diese sollten erst nach einer DSFA eingeleitet werden.
  4. Es sollen öffentlich zugängliche Räume überwacht werden. Öffentlich zugänglich ist z. B. auch der Servicebereich eines Unternehmens, in dem Publikumsverkehr herrscht.

Eine DSFA kann auch dann erforderlich sein, wenn keiner der genannten Fälle einschlägig ist, die Datenverarbeitung aber dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Die deutschen Datenschutzaufsichtsbehörden haben sich bereits zum Risikobegriff positioniert (siehe das Kurzpapier Nr. 18 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)). Bei Änderungen an einmal eingeführten Datenverarbeitungen muss geprüft werden, ob diese Auswirkungen auf das zuvor ermittelte Risiko haben (Artikel 35 Abs. 11 DSGVO). Ggf. bedarf es einer erneuten Datenschutz-Folgenabschätzung.

Die Datenschutzaufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO eine Liste mit Datenverarbeitungen veröffentlichen, für die aus ihrer Sicht unbedingt eine DSFA erforderlich ist (siehe die DSFA-Blacklist der DSK). Eine Datenschutz-Folgenabschätzung wird jedoch auch dann erforderlich sein, wenn die Verarbeitung nicht in der Liste enthalten ist, aber unter einen der oben beschriebenen Fälle gefasst werden kann. Die Liste dient insofern nur der Orientierung.

Was muss Gegenstand der Datenschutz-Folgenabschätzung sein?

Eine rechtmäßige DSFA muss insbesondere folgende Fragen dokumentiert beantworten:

  1. Wie ist die Datenverarbeitung beschaffen, welchen Zwecken dient sie und welche berechtigten Interessen hat das Unternehmen an der Datenverarbeitung?
  2. Ist die Datenverarbeitung vor dem Hintergrund des Zwecks bzw. der Zwecke notwendig und verhältnismäßig?
  3. Wie groß und welcher Art sind die Risiken für die Rechte und Freiheiten der betroffenen Personen? Zu berücksichtigen sind hierbei insbesondere die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung.
  4. Mit welchen Garantien, Sicherheitsvorkehrungen und Verfahren werden die benannten Risiken so bewältigt, dass ein ausreichender Datenschutz im Sinne der Datenschutz-Grundverordnung sichergestellt ist?

Tipp: Erstellen Sie mit unserer kostenlosen Vorlage eine Richtlinie zur Durchführung von Datenschutzfolgenabschätzungen für Ihr Unternehmen!

Wie muss mit dem Ergebnis der DSFA umgegangen werden?

Ist Ergebnis der DSFA, dass die Datenverarbeitung auf einen gesetzlichen Erlaubnistatbestand oder eine Einwilligung gestützt werden kann (insbesondere Art. 6 DSGVO), muss sichergestellt werden, dass den analysierten Risiken durch Umsetzung entsprechender technischer und / oder organisatorischer Schutzmaßnahmen ausreichend begegnet wird. Das Gesetz verlangt insofern eine Eindämmung des Risikos. Diese Eindämmung ist umso wichtiger, je größer das Risiko für Betroffenen ist.

Können oder sollen keine Maßnahmen zur Risikoeindämmung getroffen werden, muss das Unternehmen gemäß Art. 36 DSGVO die Aufsichtsbehörde konsultieren. Folge dieser Konsultation ist zunächst einmal die erhebliche Verzögerung einer möglichen Einführung der Datenverarbeitung, da das Gesetz der Behörde einen Reaktionszeitraum von mindestens acht Wochen einräumt. Die Behörde darf auf den „Antrag auf Konsultation“ des Unternehmens sowohl mit „Empfehlungen“ als auch mit sämtlichen anderen in Art. 58 DSGVO festgelegten Befugnissen reagieren. Hierzu gehört u. a. die vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots. Auch kann die Behörde ein Bußgeld von bis zu 2 % des gesamten weltweiten Jahresumsatzes gegen das Unternehmen verhängen.

Es empfiehlt sich daher, Änderungen an der gewünschten Datenverarbeitung vorzunehmen, falls die Datenschutz-Folgenabschätzung zu keinem positiven Ergebnis kommt.

Wer ist für die Datenschutz-Folgenabschätzung zuständig?

Die Pflicht eine DSFA durchzuführen obliegt grundsätzlich dem Unternehmen (Art. 35 Abs. 1 DSGVO). Die Geschäftsführung eines Unternehmens muss somit (wie auch in anderen Risikomanagement-Bereichen) sicherstellen, dass die Erforderlichkeit einer DSFA geprüft und diese dann ggf. durchgeführt wird. Hierzu hat die Geschäftsführung gemäß Art. 35 Abs. 2 DSGVO den Datenschutzbeauftragten zu konsultieren, sofern ein solcher bestellt wurde.

Zuständig für die Datenschutz-Folgenabschätzung ist somit im Ergebnis der Datenschutzbeauftragte, was in Artikel 39 Abs. 1 lit. c DSGVO nochmals klargestellt wird. Der Datenschutzbeauftragte sollte daher stets rechtzeitig über neue Datenverarbeitungsvorhaben informiert werden.

Ist das Unternehmen weder nach Art. 37 DSGVO noch nach § 38 BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen, muss es gleichwohl das Erfordernis einer DSFA prüfen – und als Konsequenz ggf. einen Datenschutzbeauftragten bestellen.

Fazit: DSFA ist wichtiger Teil des unternehmerischen Risikomanagements

In anderen unternehmerischen Bereichen, wie etwa der Korruptionsbekämpfung oder aber der Steuerbetrugsprävention, ist ein ausgefeiltes Risikomanagement zumindest auf dem gesetzlichen Papier seit Langem etabliert. Dies gilt mit der Datenschutz-Folgenabschätzung nun auch für den Schutz personenbezogener Daten. Angesichts hoher Bußgeldoptionen und Eingriffsbefugnisse der Datenschutzbehörden sollten Unternehmen ihren Datenschutzbeauftragten stets rechtzeitig über neue Datenverarbeitungen oder Änderungen an bestehenden Datenverarbeitungen unterrichten. So kann der Beauftragte rechtzeitig prüfen, ob eine DSFA erforderlich ist und eine solche dann ggf. durchführen.

Hinweis: Dieser aktualisierte Artikel erschien zuerst am 1. November 2016.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Rechtsgrundlagen für die Datenverarbeitung: Einwilligung, Vertrag oder doch Interessenabwägung?

Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.

Welche Rechtsgrundlage ist die Richtige?

In der Unternehmenspraxis sind vor allem die drei folgenden Legitimationsgründe bedeutsam:

  1. Einwilligung des Betroffenen ( 6 Abs. 1 lit. a DSGVO)
  2. Erforderlichkeit für die Abwicklung eines Vertragsverhältnisses (Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG)
  3. Abwägung zwischen berechtigten Unternehmensinteressen und evtl. schutzwürdigen Interessen des Betroffenen (Art. 6 Abs. 1 lit. f DSGVO).

Die Gründe stehen rechtlich in keinem Hierarchie-Verhältnis zueinander. So ist z.B. die Einwilligung keine „bessere“ Rechtsgrundlage als die Interessensabwägung. Die Rechtsgrundlagen sind vielmehr gleichrangige Optionen, die – je nach Sachverhalt – eine gute, eine schlechte oder keine Lösung für die Verarbeitung personenbezogener Daten sind.

Man kann sich die Grundlagen wie Stromstecker vorstellen, die, je nach Aufenthaltsort, auf die vorhandene Steckdose (= unternehmerische Datenverarbeitung) passen, nur wacklig passen oder gar nicht passen. Die datenschutzrechtliche Herausforderung besteht darin, für einen unternehmerischen Sachverhalt den bestpassendsten Stecker, also die optimale Rechtsgrundlage zu finden.

Einwilligung als Rechtsgrundlage

Das Einholen einer Einwilligung wird vielerorts als Königsweg propagiert. Dabei bleibt oft unberücksichtigt, dass das Bitten um Zustimmung ein Weg mit vielen Tücken ist. So darf die Bereitstellung eines Services in einigen Konstellationen nicht an das „Ja“ des Betroffenen zu einer Datenverarbeitung gekoppelt werden. Die Einwilligung muss vielmehr auch verweigert werden können (sog. „Kopplungsverbot“). Zudem darf eine einmal erteilte Einwilligung jederzeit vom Betroffenen widerrufen werden, woraus eine erhebliche Unsicherheit hinsichtlich des Fortbestands einer Datenverarbeitung resultieren kann.

Der Hype um die Einwilligung ist aber vor allem deshalb irreführend, weil sie faktisch nur für relativ wenige Konstellationen als Legitimationsbasis benötigt wird, also, nach der obigen Metapher, der richtige bzw. der geeignete Stecker ist. Insbesondere für folgende Konstellationen kann die Einwilligung die richtige Lösung sein:

Verarbeitung besonderer Kategorien personenbezogener Daten

Werden Daten verarbeitet, aus denen Informationen zur rassischen bzw. ethnischen Herkunft, zu politischen Meinungen, religiösen bzw. weltanschaulichen Überzeugungen oder der Gewerkschaftszugehörigkeit einer Person abgeleitet werden können, bedarf die Verarbeitung in der Regel einer Einwilligung. Gleiches gilt, wenn Gesundheitsdaten, Daten zum Sexualleben bzw. zur sexuellen Orientierung oder genetische bzw. biometrische Daten verarbeitet werden sollen. Soweit die Daten zur Durchführung eines Vertrags mit dem Betroffenen (z.B. einem Versicherten) erforderlich sind, kann die Einwilligung ausnahmsweise an den Vertragsschluss gekoppelt werden. Ist die Verarbeitung hingegen bereits aufgrund nationaler (z.B. arbeitsrechtlicher) Vorschriften gesetzlich vorgeschrieben, bedarf es keiner Einwilligung mehr.

Verarbeitungen, die einen starken Persönlichkeitseingriff beinhalten

Ein starker Persönlichkeitseingriff ist etwa bei manchen Werbemaßnahmen zu bejahen, z.B. beim Telefonmarketing. Marketingmaßnahmen sind vor allem dann als sensitiv anzusehen, wenn auf umfassende Persönlichkeitsprofile zurückgegriffen wird, etwa beim Personal-Pricing. Letzteres kann ggf. auf sogenannten automatisierten Einzelentscheidungen beruhen, die den Persönlichkeitseingriff zusätzlich verstärken. Ein starker Persönlichkeitseingriff kann auch bei der Verarbeitung von Bildnissen (z.B. Mitarbeiterfotos) und Videoaufnahmen vorliegen.

Verarbeitungen, deren vertragliche Vereinbarung ein gesetzliches Verbot umgehen würde

Zahlreiche Verarbeitungen lassen sich vertraglich mit dem Betroffenen vereinbaren (siehe weiter unten). Begrenzt wird die Privatautonomie durch gesetzliche Verarbeitungsverbote. Solche Verbote dürfen Unternehmen nicht torpedieren, indem sie die verbotene Datenverarbeitung zum Vertragsgegenstand machen, also eine Zustimmung vom Betroffenen „abpressen“. Wird dem Betroffenen hingegen freigestellt, die Zustimmung – unabhängig vom Vertragsschluss – zu erteilen oder zu verweigern, kann auf die Einwilligung zurückgegriffen werden. Dies gilt allerdings nicht für Konstellationen, in denen aufgrund eines starken Abhängigkeitsverhältnisses zwischen Betroffenem und Unternehmen bereits die Möglichkeit der Freiwilligkeit fraglich ist, wie dies bei manchen Konstellationen im Dienstverhältnis der Fall sein kann.

Vertrag als Rechtsgrundlage

Datenverarbeitungen brauchen und sollten dann nicht auf die Einwilligung gestützt werden, wenn sie auch vertraglich vereinbart werden könnten. Überschneidet sich im Einzelfall der Anwendungsbereich der Einwilligung mit dem des Vertrags – kann also sowohl der Stecker „Einwilligung“ als auch der Stecker „Vertrag“ genutzt werden – empfiehlt es sich in der Regel, die Verarbeitung auf den Vertrag zu stützen. Der Vertrag ist in folgenden Fällen der richtige Stecker:

Verarbeitungen, die erforderlich für den vom Unternehmen angebotenen und vom Betroffenen gewünschten Service sind

Der Vertrag setzt in diesen Fällen die Datenverarbeitung voraus – ohne sie wäre er nicht denkbar. So muss ein Onlineshop Adressdaten verarbeiten, um die bestellte Ware ausliefern zu können.

Verarbeitungen, die als solche Gegenleistung für die Gewährung eines Services sein sollen

Ein Beispiel dafür ist die Verarbeitung von Daten für Marketingzwecke als Gegenleistung für einen Download oder die Teilnahme an einem sozialen Netzwerk. Ein solcher Vertrag ist jedoch nur zulässig, wenn er nach zivilrechtlichen Maßstäben vereinbart werden darf (gemäß dem sog. konkret-objektiven Maßstab, Engeler ZD 2018, 57f.). Das Zivilrecht hält Schutzbarrieren bereit, die ein Ausnutzen der (wirtschaftlichen) Unterlegenheit des Betroffenen durch das Unternehmen verhindern sollen, z.B. den Tatbestand der Sittenwidrigkeit (§ 138 BGB). Das Datenschutzrecht ergänzt diese Grenzen der Privatautonomie durch eigene Maßstäbe, etwa den Datenminimierungsgrundsatz (Art. 5 Abs. 1 lit. c DSGVO), den Speicherbegrenzungsgrundsatz (Art. 5 Abs. 1 lit. e DSGVO) und die Grundsätze von Privacy by Design und Privacy by Default (Art. 25 Abs. 1, 2 DSGVO). Diese Grundsätze dienen allesamt dazu, den Eingriff in das Persönlichkeitsrecht des Betroffenen abzumildern. Unverhältnismäßige Eingriffe dürfen auch vertraglich nicht vereinbart werden.

Verarbeitungen, die zum Kern des Dienstverhältnisses gehören

Der Arbeitnehmer muss solche Datenverarbeitungen tolerieren, ohne die eine Abwicklung seines Arbeitsverhältnisses nicht möglich wäre. Hierzu gehören zum einen Verarbeitungen, die die „Verwaltung“ des Mitarbeiters betreffen, allen voran das Führen einer Personalakte. Daneben lassen sich auch solche Verarbeitungen mit dem Arbeitsverhältnis des Mitarbeiters rechtfertigen, ohne die selbiges nicht oder nicht sinnvoll ausgeübt werden könnte. Hierzu gehört die Gesprächsaufzeichnung beim Telefonbanking oder das Lotsen von Lagerarbeitern mittels (schonend auszugestaltender) Ortung. Eine mögliche Folge der Verweigerung des Mitarbeiters kann hier die Auflösung des Arbeitsverhältnisses sein.

Interessenabwägung als Rechtsgrundlage

Kann der Vertag mit dem Betroffenen die Verarbeitung nicht ausreichend legitimieren, kann diese ggf. stattdessen auf die berechtigten Interessen des Unternehmens gestützt werden. In diesem Fall bildet eine Abwägung mit den schutzwürdigen Interessen des Betroffenen die Rechtsgrundlage. Die – zu Gunsten des Unternehmens ausgefallene – Interessenabwägung kann in folgenden Konstellationen die richtige Legitimationsbasis sein:

Verarbeitungen, die aus einer wirtschaftlichen Risikoabwägung heraus geboten sind

Beispiel: Ein Unternehmen vermietet an den Betroffenen hochpreisige oder gefährliche Unternehmensgüter und möchte sich mit einer (schonend auszugestaltenden) Überwachungsmaßnahme gegen einen Missbrauch absichern – etwa mithilfe einer zeitlich begrenzten Verarbeitung von Standortdaten im Falle des Angebots eines Mobilitätsdienstes. Ein erhöhtes Risiko kann auch in Räumen bestehen, in denen gefahranfällige Dienstleistungen angeboten (z.B. Bargeldausgabe) oder hochpreisige Güter (z.B. Gemälde) ausgestellt werden. In diesen Fällen kann ausnahmsweise sogar eine (partielle) Videoüberwachung von Mitarbeitern zulässig sein. Nicht zuletzt ist auch der Schutz vor betrügerischen Handlungen ein legitimes Interesse. So darf in einem Onlineshop unter bestimmten Voraussetzungen eine automatisierte Identitäts- und Bonitäts- bzw. Seriositätsprüfung erfolgen.

Verarbeitungen, die aufgrund des spezifischen Dienstverhältnisses wirtschaftlich geboten sind

Bestimmte Mitarbeiterdatenverarbeitungen sind zwar nicht erforderlich, um das Beschäftigtenverhältnis durchführen zu können, jedoch angesichts der Tätigkeit des Mitarbeiters unternehmerisch geboten. So kann in sehr engen Grenzen und bei ausreichender Einbindung des Mitarbeiters eine Gesprächsaufzeichnung im Callcenter datenschutzrechtlich auch dann zulässig sein, wenn der Arbeitgeber diese für legitime Auswertungszwecke nutzen möchte. Auch die Auswertung anderer Arbeitsergebnisse (z.B. E-Mails) lässt sich im konkreten Fall u.U. auf eine Interessenabwägung stützen, wenn sie nicht bereits zur Durchführung des Vertragsverhältnisses erforderlich ist (s.o.).

Verarbeitungen, die maßgeblich für den wirtschaftlichen Erfolg des Unternehmens sind

Hier ist an postalische Werbung und E-Mailwerbung bei Bestandskunden zu denken. Auch ein pseudonymisiertes Tracken von Websitebesuchern kann regelmäßig auf überwiegende Unternehmensinteressen gestützt werden. Anders sehen dies neuerdings die Datenschutzaufsichtsbehörden, die das Einholen einer Einwilligung des Nutzers verlangen (activeMind berichtete). Diese (sehr fragliche) Auffassung haben die Behörden allerdings in einer neueren Stellungnahme bereits wieder etwas relativiert. Darin ist nur noch von einem Tracken „personenbezogener Daten“ die Rede. Gemeint sind hiermit wohl direkt identifizierende Daten wie z.B. die ungekürzte IP-Adresse des Nutzers.

Fazit: Die Suche nach der richtigen Rechtsgrundlage lohnt sich

Die datenschutzkonforme Verarbeitung wird oftmals sehr stark mit der Einwilligung des Betroffenen assoziiert. Neben bzw. statt der Einwilligung ermöglichen jedoch auch die Rechtsgrundlagen Vertrag und Interessenabwägung umfassende Datenverarbeitungen. Bei der Suche nach der richtigen Rechtsgrundlage hilft Ihnen Ihr Datenschutzbeauftragter. Die Rechtsgrundlagen werden auch für die Erstellung eines Verarbeitungsverzeichnisses und die Umsetzung der Informationspflichten benötigt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Sicherer Umgang mit mobilen Endgeräten im Unternehmen

Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.

Datenschutzprobleme resultieren sehr oft aus der Nutzung von Dienstprogrammen (Apps), die automatisiert und vom Nutzer unentdeckt auf die Datenbanken des Geräts zugreifen. Darüber hinaus besteht die Gefahr, dass sensible Daten ungewollt das Unternehmen verlassen, wenn mobile Endgeräte abhanden kommen. Damit sind auch Haftungsrisiken der Unternehmensleitung verbunden. Um diese zu vermeidenl, ist es unerlässlich, Regelungen im technischen und organisatorischen Bereich zu treffen.

Der konkrete Regelungsbedarf orientiert sich daran, um welche Art von mobilen Endgeräten es sich handelt, die das Unternehmen dem Mitarbeiter überlässt. Bei den sogenannten “nicht intelligenten mobilen Endgeräten”, zu denen externe Datenträger und Speichermedien zählen, sind die Sicherheitsrisiken für gewöhnlich mittels technischer Vorkehrungen gut kontrollierbar. Durch die Sperrung von USB-Ports oder den Einsatz von Virenschutzprogrammen lassen sich die Risiken wesentlich minimieren.

Ein sicherer und datenschutzkonformer Umgang mit sogenannten “intelligenten Mobilgeräten” wie Notebooks, Tablets und Smartphones erfordert dagegen vor der Ausgabe und Inbetriebnahme der Geräte die Festlegung einer Nutzungsrichtlinie. Wegen der unterschiedlichen Nutzungsmöglichkeiten ist eine Rahmenregelung nicht sinnvoll. Mobile Endgeräte lassen sich in die Untergruppen der “Notebooks und Laptops” sowie “Tablets und Smartphones” einteilen. Es empfiehlt sich, für jede Untergruppe jeweils eine eigene Richtlinie zu erstellen.

Klare Regeln für die dienstliche Nutzung von mobilen Geräten

Allein durch technische Maßnahmen ein ausreichendes Sicherheitsniveau herstellen zu wollen, würde zu kurz greifen. Außerdem würde das Bemühen, jedes mögliche Risiko durch entsprechende technische Schranken zu beheben, die Mitarbeiter unangemessen in ihrer praxisgerechten Nutzung der mobilen Geräte einschränken. Sinnvoller ist es, die Mitarbeiter über den sicheren Umgang mit mobilen Geräten aufzuklären und verbindliche Regeln für die Bereiche aufzustellen, die durch rein technische Mittel nicht praktikabel abzusichern sind. Die Aufgabe des betrieblichen Datenschutzbeauftragten ist es, die Unternehmensleitung dabei zu unterstützen, ein solches Regelwerk zu entwickeln, das dem Risiko angemessen und zugleich für die Mitarbeiter nachvollziehbar und praktikabel ist.

Eine solche Richtlinie zum sicheren Umgang mit mobilen Geräten sollte insbesondere folgende Aspekte berücksichtigen:

Zentrale Verwaltung

Es ist empfehlenswert, die unternehmenseigene IT-Abteilung als die verantwortliche Stelle für die Verwaltung vorzusehen und sie mit der Unterstützung der technischen Umsetzung zu betrauen, wie der Durchführung der Vorkonfiguration der Geräte, der Aktivierung der Sicherheitsfunktionen, der Installation von geprüften Apps und der Ausgabe der Geräte.

Dokumentation

Um nicht Gefahr zu laufen, die Übersicht über die ausgegebenen Geräte zu verlieren, ist die Ausgabe an den Mitarbeiter in einer Inventarliste zu dokumentieren und vom Mitarbeiter per Unterschrift zu bestätigen. Ferner sollten in dem Formular weitere Informationen über das ausgegebene Gerät (Gerätehersteller und -typ), die zugeordnete Rufnummer und die Spezifikationen des Geräts (Version des Betriebssystems, Patch-Level, verwendete und zugelassene Apps) festgehalten werden.

Zentrale Rücknahme und datenschutzkonforme Vernichtung

Dadurch soll sichergestellt werden, dass sich bei einer etwaigen Weitergabe der Geräte nach deren Rückgabe keine personenbezogenen Daten mehr auf dem Gerät befinden und eine Wiederherstellung ausgeschlossen ist.

Maßnahmen bei Verlust

Um einen unbefugten Zugriff durch Dritte zu vermeiden, sind technische und organisatorische Maßnahmen für den Fall eines Verlustes zu treffen. Auf der technischen Seite besteht die Möglichkeit, eine zentrale Sperrung (Remote-Lock-Funktion) oder eine zentrale Löschung (Remote-Wipe-Funktion) einzurichten. Empfehlenswert ist es, zusätzlich eine ständige Verschlüsselung beim Abspeichern sämtlicher Daten vorzusehen. Auf der organisatorischen Seite ist die Einrichtung einer Hotline sinnvoll, an die ein Verlust des Gerätes gemeldet werden kann. Auf jeden Fall ist der Mitarbeiter angehalten, den betrieblichen Datenschutzbeauftragten über den Verlust in Kenntnis zu setzen, damit dieser die Art und Weise einer Datenschutzverletzung beurteilen kann und ggfs. erforderliche Maßnahmen nach § 42 a BDSG einleiten kann, falls die Daten für Unberechtigte zugänglich wurden.

Wir beraten Sie gerne bei der Ausgestaltung der erforderlichen Maßnahmen, um einen sicheren Umgang mit mobilen Endgeräten zu gewährleisten. Die Herausforderungen, die sich bei einer beruflichen Nutzung privater Geräte ergeben (Stichwort: Bring Your Own Device) sind in einem gesonderten Blog-Eintrag dargestellt: Bring Your Own Device: So begegnen Sie den Herausforderungen

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Das datenschutzkonforme Löschkonzept

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Das Dilemma: Speicherbegrenzung und Aufbewahrungspflichten im Widerspruch

Die EU-Datenschutz-Grundverordnung (DSGVO) zwingt Unternehmen zur umfassenden Dokumentation von Verarbeitungsvorgängen und beinhaltet zahlreiche Informationspflichten gegenüber Betroffenen. Dadurch könnten sich Verantwortliche zu übertriebener Datensammlung aufgefordert sehen und zu viele personenbezogene Daten zu dauerhaft speichern. Die in anderen Gesetzen geforderten Aufbewahrungspflichten können hierzu noch verstärkend beitragen.

Das Ergebnis eines solchen Eifers kann jedoch zu einem Verstoß gegen die DSGVO führen. Denn neben dem Verfügbarkeitserfordernis für anvertraute personenbezogene Daten eines Betroffenen, legen die Datenschutzgrundsätze in Art. 5 Abs. 1e DSGVO ausdrücklich fest, dass Verantwortliche Speicherbegrenzung betreiben müssen. Damit ist gemeint, dass Betroffenendaten nur insoweit verarbeitet werden dürfen (unter Verarbeitung fällt auch die bloße Speicherung von personenbezogenen Daten), wie es für den Zweck der Erhebung weiterhin erforderlich ist.

Rechtsgrundlage und Zweck der Verarbeitung

Die gegensätzlich erscheinenden Intentionen zwischen einerseits Aufrechterhaltung der Verfügbarkeit personenbezogener Daten und andererseits Speicherbegrenzung verwirren zunächst. Sie können aber anhand des Verarbeitungszwecks klar abgegrenzt werden:

Speicherbegrenzung, sprich Löschung von personenbezogenen Daten ist dann erforderlich, wenn die Rechtsgrundlage der Verarbeitung wegfällt. Beispielsweise ist die Beendigung eines Auftragsverhältnisses, das die datenschutzrechtliche Erlaubnis zur Verarbeitung von Login-Daten eines Mitarbeiters darstellte, Anlass diese Informationen zu entfernen. Mit Wegfall der Rechtsgrundlage fällt ebenfalls der ursprüngliche Zweck der Verarbeitung weg, in unserem Beispiel die Durchführung des Auftragsverhältnisses.

Andererseits muss darauf geachtet werden, dass die Löschung keine gesetzlichen Aufbewahrungsfristen, wie z. B. die zur Aufbewahrung von Buchungsbelegen, verletzt. Der Verantwortliche sollte sich klarmachen, dass innerbetriebliche Informationen ohne Personenbezug datenschutzrechtlich grundsätzlich zu vernachlässigen sind. Allerdings unterliegen Ihrem Unternehmen zugehörige Mitarbeiter, Kundenarbeitnehmer und selbstverständlich Privatkunden dem Datenschutz. Sind also bspw. auf einer Rechnung Vor- und Nachname eines Mitarbeiters eingetragen, können diese als personenbezogene Daten gewertet und müssen entsprechend geschützt werden.

Weil vielerlei personenbezogene Daten verschiedenster Stakeholder verarbeitet werden, kann ein Unternehmen ohne systematisches Vorgehen fast unmöglich den Dschungel allgemeiner gesetzlicher Aufbewahrungsfristen und datenschutzrechtlicher Speicherbegrenzung durchschauen. Deshalb sollten Sie Vorkehrungen treffen, um die unter der DSGVO stark erhöhten Geldbußen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welches höher (!) ist) abzuwenden.

Das Löschkonzept als datenschutzkonforme Lösung

Ein systematisches Vorgehen zur Entfernung von personenbezogenen Daten kann durch ein Löschkonzept erreicht werden. Letzteres kann sich auf die rechtmäßige Entfernung von personenbezogenen Daten beschränken oder auch Datenbestände ohne Personenbezug umfassen. Eine gute Orientierung bietet die DIN 66398.

Bei der Erstellung eines Löschkonzeptes werden zunächst vom Verantwortlichen Kategorien von Daten festgelegt, denen Daten nach Erhebungszwecken, gesetzlichen Datenbehandlungspflichten, Betroffenen und Teilprozessen zugeordnet werden. Zudem wird der jeweiligen Datenkategorie eine vorbestimmte Löschklasse zugewiesen, die den Startzeitpunkt der Verarbeitung und die entsprechende Löschfrist festhält. Mithilfe dieser Zuweisung etabliert der Verantwortliche Löschregeln, um die Einhaltung der Datenschutzgrundsätze sicherzustellen.

Implementierung eines Löschkonzeptes im Unternehmen

Mit Aufstellung von Löschregeln ist das Löschkonzept allerdings noch nicht abschließend im Unternehmen implementiert. Folgende Punkte sind zusätzlich erforderlich:

  • Verantwortlichkeiten sollten von der Geschäftsführung mithilfe des Datenschutzbeauftragten eindeutig festgelegt werden.
  • Mitarbeiter benötigen Schulungen zur Einordnung von Daten.
  • Die Zuordnung zu bestimmten Datenkategorien sowie die Ausführung der Löschungen sollten technisch erzwungen werden.
  • Unternehmensprozesse, Zwecke, Datenbestände und Gesetzgebung befinden sich im ständigen Wandel, was regelmäßige Aktualisierungen der Datenarten und Löschklassen erfordert.
  • Durch CRM-Lösungen lassen sich Datensätze besser voneinander trennen, um eine zielgenaue und isolierte Löschung personenbezogener Daten zu gewährleisten.

Achtung: Gelöscht ist nicht gleich gelöscht!

Neben der Frage, welche Daten wann gelöscht werden müssen, haben Verantwortliche sich auch damit auseinandersetzen, wie entfernungsbedürftige Daten zu löschen sind.

Um die Identifizierbarkeit von Betroffenen gänzlich ausschließen zu können, gilt es zu beachten, dass der Begriff „Löschen“ im allgemeinen Sprachgebrauch eher unpräzise verwendet wird. Tatsächlich wird die Entfernung von Daten in automatisierten Systemen auf verschiedene Weisen vollzogen.

Beispiel: Das Betriebssystem Windows markiert standardmäßig lediglich einfach gelöschte Dateien als freien Speicherplatz. Tatsächlich kann Datenrettungssoftware diese Elemente wiederherstellen, weil die Daten fortleben, sofern sie nicht durch neue Daten überschrieben werden. Demnach bleiben Betroffene identifizierbar und ein datenschutzrechtlicher Verstoß lauert.

Das bedeutet allerdings nicht, dass Löschen digitaler Inhalte unmöglich ist. Beispielsweise kann man durch das physische Überschreiben von Datenobjekten oder professionelle Entsorgung der Datenträger Abhilfe schaffen. Das Gebot zur professionellen bzw. datenvernichtenden Entsorgung gilt gleichermaßen bei analogen Dokumenten (siehe unsere Checkliste zur datenschutzkonformen Aktenvernichtung).

Fazit: Nur Löschen mit System ist datenschutzkonform

Um erhöhten Strafen zu entgehen und Betroffenen ihr Grundrecht auf informationelle Selbstbestimmung wirksam einzuräumen, sollten Unternehmen eine systematische Vorgehensweise zur Löschung von Daten etablieren, diese leben und regelmäßig Anpassungen vornehmen. Ein Löschkonzept ist dafür der ideale Ausgangspunkt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutzrisiken in der Bilanz: Rückstellungen für potentielle Bußgelder

Mit der ab dem 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) soll der Datenschutz als personenbezogenes Grundrecht gestärkt werden. Weil sich dadurch der Pflichtenkatalog für Unternehmen maßgeblich erweitert, sollten Sie den Datenschutz zu einem zentralen Aspekt unternehmerischer Tätigkeit machen und ihm in der Risikobewertung eine höhere Bedeutung beimessen. Für etwaige Bußgelder bei Datenschutzverstößen können Sie sogar zu bilanziellen Rückstellungen verpflichtet sein. Dieser Artikel hilft Ihnen, die Risiken einzuschätzen.

Ausgangslage: Pflichten und Bußgelder unter der DSGVO

Unter der DSGVO wird es kaum ein Unternehmen geben, das nicht von (einigen) Datenschutzplichten betroffen ist, da im Regelfall jedes Unternehmen personenbezogene Daten – zumindest die von Mitarbeitern – verarbeitet. Als Folge dessen wird es kaum möglich sein, sich der Implementierung einzelner Schutzkonzepte – ggf. sogar der Implementierung eines Datenschutzmanagementsystems – zu entziehen.

Gleichzeitig werden die möglichen Bußgelder für Verstöße mit der DSGVO drastisch erhöht. Für geringfügigere Verstöße sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten (Konzern-)Umsatzes der verantwortlichen Stelle möglich. Bei schwerwiegenderen Verstößen erhöhen sich die jeweiligen Maximalstrafen auf 20 Millionen Euro bzw. 4 % des Umsatzes (siehe auch unser Artikel zu Bußgeldern unter der DSGVO).

Welche Risiken erzwingen bilanzielle Rückstellungen?

Die Erweiterung des Pflichtenumfangs und gleichzeitige Erhöhung der korrespondierenden Bußgelder werden weitreichende Auswirkung auf alle Bereiche unternehmerischer Tätigkeit haben. Daher sollte ihnen in der unternehmerischen Risikobewertung eine höhere Bedeutung beigemessen werden.

Es stellt sich insbesondere die Frage, unter welchen Voraussetzungen Datenschutzverstöße oder die Non-Compliance mit datenschutzrechtlichen Pflichten in Form von Rückstellungen gem. § 249 HGB (Handelsgesetzbuch) in der Bilanz zu berücksichtigen sind. An dieser Stelle sei vorsorglich darauf hingewiesen, dass es im Rahmen des Jahresabschlusses für Aktiengesellschaften weitergehende Pflichten geben kann, auf die hier nicht eingegangen wird.

Nach § 249 HGB – der für alle Kaufleute gilt (!) – sind Rückstellungen für ungewisse Verbindlichkeiten zu bilden. Eine ungewisse Verbindlichkeit im Sinne der Norm liegt dann vor, wenn der Bilanzierende ernsthaft mit der Inanspruchnahme wegen einer Verbindlichkeit, die wirtschaftlich in der Zeit vor dem Bilanzstichtag verursacht wurde, rechnen muss.

Bei ungewissen Verbindlichkeiten ist zwischen

  1. der Wahrscheinlichkeit des Bestehens der Verbindlichkeit und
  2. der Wahrscheinlichkeit der tatsächlichen Inanspruchnahme hieraus

zu unterscheiden. Konkret auf das Datenschutzrecht angewendet bedeutet dies: Ein Unternehmen hat im Rahmen des Jahresabschlusses zu entscheiden, ob wegen einer vermeintlichen Verletzung von Datenschutzrecht eine Rückstellung für ein Bußgeld der zuständigen Behörde zu bilden ist:

  1. Einerseits besteht die Unsicherheit, ob überhaupt eine rechtlich belangbare Verletzung von Datenschutzrechtes vorliegt.
  2. Anderseits besteht die Unsicherheit, ob die zuständige Behörde den Fall aufgreifen und ein Bußgeldverfahren einleiten wird.

Wie wahrscheinlich ist eine bußgeldbewehrte Rechtsverletzung?

Um eine mögliche Pflicht zur Rückstellung für Bußgelder aufgrund von Datenschutzverstößen ermitteln zu können, muss zunächst geprüft werden, wie wahrscheinlich letztere vorliegen. Hier sind im Wesentlichen zwei mögliche Szenarien zu unterscheiden:

  • Unternehmen, die bisher gar keine Risikoanalyse und keine Maßnahmen hinsichtlich datenschutzrechtlicher Verpflichtungen eingeleitet haben, und
  • Unternehmen, die eine Risikoanalyse durchgeführt und bereits (erste) Maßnahmen ergriffen haben.

In erstem Fall wird in Zukunft mit sehr großer Wahrscheinlichkeit von datenschutzrechtlichen Regelverstößen bzw. Non-Compliance mit der DSGVO in irgendeiner Art auszugehen sein. Wer seine Pflichten nicht kennt, wird sich in der Regel schwertun, diese (kurzfristig) zu erfüllen.

Unternehmen der zweiten Kategorie, die bereits aufgrund einer Risikoanalyse um ihre Verpflichtungen wissen, können entweder Verstöße oder Non-Compliance vermuten oder positive Kenntnis davon haben. Bei positiver Kenntnis eines Verstoßes entfällt der Wahrscheinlichkeitsmaßstab.

Wie wahrscheinlich ist eine Ahndung durch die Aufsichtsbehörde?

Es kann nicht seriös vorhergesagt werden, wie die Datenschutz-Aufsichtsbehörden in Zukunft ihren Kontrollauftrag ausgestalten. Es sprechen jedoch einige Umstände dafür, dass die Ahndungswahrscheinlichkeit im Vergleich zur Vergangenheit deutlich zunehmen wird.

So sind die jeweiligen Aufsichtsbehörden nach DSGVO verpflichtet, Meldungen nachzugehen und gegebenenfalls vorliegende Verstöße zu ahnden. Da etwa Verstöße gegen Meldepflichten bereits auf Webseiten ersichtlich sein können, tritt neben die Möglichkeit der Zufallskontrolle durch die Behörde auch die Meldung an letztere durch z. B. einen abgelehnten Bewerber oder konkurrierende Marktteilnehmer.

Zusätzlich greift mit der DSGVO eine grundsätzliche Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Um unter diese Meldepflicht zu fallen, reicht es schon, eine E-Mail mit personenbezogenen Daten an einen falschen Adressaten versendet zu haben. Die Pflicht zur Meldung von Datenpannen erhöht demnach zusätzlich das Risiko, dass Verstöße durch die Aufsichtsbehörden aufgedeckt werden.

Fazit: Bilanzielle Rückstellung dürften für viele Unternehmen verpflichtend werden

Je nach datenschutzrechtlichem Risikobewusstsein und Umsetzungsstand von Maßnahmen in Unternehmen ist die Gefahr von Non-Compliance oder Regelverstößen unterschiedlich hoch. Für Unternehmen, die bisher nicht einmal eine Risikoanalyse durchgeführt und gar keine datenschutzrechtlichen Maßnahmen ergriffen haben, dürfte die Wahrscheinlichkeit einer Pflichtverletzung immens hoch sein. Für Unternehmen, die um Ihre Non-Compliance oder Verstöße wissen, ersetzt Kenntnis die Wahrscheinlichkeit.

Die Wahrscheinlichkeit der Ahndung von Verstößen durch die Aufsichtsbehörden ist derzeit eine unbekannte Größe und wird sich erst nach und nach durch die Praxis einordnen lassen. Vieles spricht dafür, dass u. a. aufgrund der Ahndungs- bzw. Verfolgungspflicht von Meldungen, die Wahrscheinlichkeit von Ahndungen hoch anzusiedeln ist.

Dies wiederum erhöht bei Kenntnis eines Verstoßes oder DSGVO-Non-Compliance oder bei bisheriger Tatenlosigkeit im Datenschutz die Wahrscheinlichkeit, zu Rückstellungen verpflichtet zu sein. Fest steht in jedem Fall eines: Wenn es eine Pflicht zu bilanziellen Rückstellungen für Verpflichtungen aus Bußgeldbescheiden wegen Datenschutzverletzungen gibt, dann in potentiell erheblicher Höhe.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Baldiges Aus für US-Daten-Dienstleister in der EU?

Wieder einmal wollen Behörden in den USA den vollen Zugriff auf Kundendaten von US-Unternehmen – auch wenn diese Daten in Rechenzentren in Europa gespeichert sind. Der oberste Gerichtshof der Vereinigten Staaten muss nun entscheiden, ob dies rechtens ist. Falls er den Zugriff auf die Daten für legitim erklärt, hätte dies katastrophale datenschutzrechtliche Auswirkungen.

Der Fall: Microsofts EU-Cloud

Das US-Justizministerium fordert auf Grundlage eines Durchsuchungsbeschlusses von Microsoft die Herausgabe von personenbezogenen Daten (in diesem Fall E-Mails), die in der sogenannten „EU-Cloud“ in Irland gespeichert sind. Microsoft ging gegen den Durchsuchungsbeschluss vor, verlor jedoch in einem ersten Gerichtsverfahren. Die Berufungsinstanz entschied hingegen mit drei zu null der Richterstimmen für Microsoft.

Der oberste Gerichtshof der Vereinigten Staaten (United States Supreme Court) muss nun grundsätzlich entscheiden, ob die US-Justizbehörden mit einem einfachen Durchsuchungsbefehl amerikanische Unternehmen anweisen dürfen, Daten preiszugeben, die sich in Europa befinden. Das für den 27. Februar 2018 festgelegte Revisionsverfahren hat also erhebliche Implikationen für den Datenschutz (No. 17-02 United States, Petitioner v. Microsoft Corporation, umgangssprachlich auch „Microsoft Ireland Case“).

Die Folgen: ein datenschutzrechtliches Dilemma

Sollte der Supreme Court den US-Justizbehörden Recht geben, wäre in letzter Konsequenz für in der EU ansässige Unternehmen eine Zusammenarbeit mit amerikanischen Dienstleistern kaum noch umsetzbar. Denn wenn Dienstleister im Auftrag Daten verarbeiten sollen, muss der Auftraggeber gewährleisten, dass der jeweilige Partner über ein adäquates Datenschutzniveau verfügt. Dies wäre nicht mehr gegeben, sollte US-amerikanischen Behörden nun ein direktes Zugriffsrecht auf Daten, die von amerikanischen Unternehmen physisch in Europa gespeichert werden, zugesprochen werden.

Entsprechendes gilt für europäische Unternehmen, die sowohl in der EU als auch in den USA operieren. Diese müssten sich in vergleichbaren Fällen in Zukunft entscheiden, entweder gegen EU-Datenschutzrecht oder US-Recht zu verstoßen. Auch dies müssten Auftraggeber im Rahmen der Datenverarbeitung in ihre Prüfung des Verarbeiters bzw. Dienstleisters berücksichtigen.

Das EU-U.S. Privacy Shield, ein Abkommen zwischen der EU und den USA hinsichtlich der Gewährleistung von Mindeststandards im Datenschutz von US-Unternehmen, könnte von diesem Urteil ebenfalls zu Fall gebracht werden.

Fazit: Schnelles Handeln und ggfs. Alternativen sind gefragt

Das mit Spannung erwartete Urteil hat also die Sprengkraft, wirtschaftliche und informationstechnische Verflechtungen zwischen der EU und den USA nachhaltig zu beschädigen. Unternehmen, die US-Dienstleister oder Dienstleister mit einem Sitz (bzw. einer Konzernmutter oder -tochter) in den USA bei der Auftragsverarbeitung einsetzen, müssen nach dem Urteil ggfs. schnell handeln. Es kann deswegen ratsam sein, sich jetzt schon nach Alternativen umzusehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Austausch der IT und ISO 27001-Zertifizierung im Bereich erneuerbare Energien für die Lampe Equity Management GmbH (Best Practice)

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Die Herausforderung bei der Kunden-IT

Zum Portfolio der Hamburger CEE Group gehören zahlreiche Photovoltaik- und Windparks in Deutschland. Und es werden immer mehr. Um die Prozesse der vielen Unternehmen der CEE Group zu optimieren, bündelte man die IT-Tätigkeiten der Gruppe in der Lampe Equity Management GmbH. Als dort nach einigen Jahren ein Informationssicherheits-Managementsystem (ISMS) eingeführt werden sollte, um die Zertifizierung nach ISO 27001 zu erreichen, wurde Handlungsbedarf sichtbar:

„Unsere IT-Infrastrukturen sind in großem Umfang und sehr organisch gewachsen. Doch dies ist nicht endlos skalierbar, dafür sind die Anforderungen unseres Unternehmens an Effizienz und Sicherheit zu hoch“, erläutert CEE Operations-Geschäftsführer Christian Bertsch-Engel, verantwortlich für die Umstrukturierung der IT-Landschaft der Lampe Equity Management.

Umsetzung 1: Austausch der gesamten IT

Um die Herausforderungen zu meistern, wurde ein Experte der activeMind AG als externer Sicherheitsbeauftragter bestellt. Zudem besetzte man die Position des technischen Leiters neu, um interne und externe Kompetenzen zu bündeln. In einem ersten Arbeitsschritt ging es dann darum, den vollständigen Austausch der vorhandenen Hardware zu realisieren. Christian Bertsch-Engel: „Im laufenden Geschäftsbetrieb die Unternehmens-IT zu ändern, davor scheut man sich ja eher. Für uns war es daher besonders angenehm, dass unser Team während des gesamten Prozesses durch die activeMind AG begleitet wurde.“

So übernahm der externe Sicherheitsbeauftragte die Ausschreibung des Hardware-Austauschs, die Erstellung des Anbieterkatalogs und den Entwurf des technischen Lösungsvorschlags. Auch die Angebotsprüfung und Auswahl des Anbieters wurde durch die activeMind AG durchgeführt. Parallel dazu konnte durch den neuen technischen Leiter ein internes Störungsmanagement entwickelt und implementiert werden.

„Wir setzen vorwiegend auf eigene IT und lagern nicht in Rechenzentren aus. Daher brauchten wir nicht nur neue Workstations, sondern auch Server bzw. die gesamte Storage-Struktur. Das Ergebnis sollte eine prozessorientierte und hochverfügbare Umgebung sein“, so Christian Bertsch-Engel. „Die juristischen, organisatorischen und IT-Kenntnisse der activeMind AG waren hierbei sehr wertvoll. Auch in die Vertragsverhandlungen und die Überprüfung des Anbieters nach § 11 Bundesdatenschutzgesetz (BDSG) hat sich unser externer Sicherheitsbeauftragter wertstiftend eingebracht.“ Insgesamt begleitete die activeMind AG die Lampe Equity Management GmbH bei der technischen Integration bis zur Abnahme.

Umsetzung 2: Vorbereitung zur ISO-Zertifizierung

Auf Basis der neuen Infrastruktur konnte nun die Zertifizierung nach ISO 27001 durch den TÜV angestrebt werden. Der Ausbau des notwendigen IT-Monitorings wurde intern verwirklicht. Der externe Sicherheitsbeauftragte unterstützte währenddessen bei der Risikoanalyse, der datenschutzrechtlichen Prüfung und bei der Erstellung der IT-Dokumentation. Interne Audits bereiteten optimal auf das Zertifizierungsaudit vor.

„In weniger als anderthalb Jahren seit der Erfassung des technischen Ist-Zustands erlangten wir gemeinsam mit der activeMind AG die erfolgreiche Zertifizierung nach ISO 27001 ohne Abweichungen“, freut sich Christian Bertsch-Engel. „Überzeugt hat uns dabei vor allem der Rundum-Service und die pragmatische Herangehensweise der Experten. Mit der activeMind AG an unserer Seite und mit unserer neuen IT sind wir sicherheitstechnisch und datenschutzrechtlich bestens für zukünftiges Wachstum gerüstet!“

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Medizinischer Datenschutz bei iPrax Systems [Best Practice]

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best Practice Interview.

Welches Produkt bietet Ihr Unternehmen im Gesundheitsbereich an?

Wir vertreiben eine Praxis-Software für Physiotherapeuten, Ergotherapeuten, Logopäden und Podologen. Mit iPrax können Sie alle wichtigen Verwaltungsaktivitäten einer Praxis digital abwickeln: Terminplanung und -vergabe, Patientenmanagement, Rezepte und Abrechnung. Dabei ist es egal, ob Sie gerade in der Praxis sind oder unterwegs, denn mit iPrax haben Sie online wie offline mit Ihrem iPad oder Mac immer Zugriff auf alle relevanten Daten. Mehrere Endgeräte lassen sich einfach synchronisieren, wodurch auch die Zusammenarbeit im Team erleichtert wird.

Wie relevant ist der Datenschutz bei Ihrer Software?

Bei Praxissoftware spielt der Datenschutz natürlich eine sehr große Rolle. Schon die gesetzlichen Vorgaben sind hier besonders streng, weil ja sensible Daten von Patienten verarbeitet werden. Darüber hinaus gebietet unser unternehmerisches Selbstverständnis, alles organisatorisch und technisch Mögliche zu unternehmen, um den Schutz der über unsere Software verarbeiteten Daten zu gewährleisten.

Welche sensiblen Daten werden bei iPrax verarbeitet?

Neben den Stammdaten der Patienten speichern die anwendenden Therapeuten alle relevanten Gesundheitsdaten wie den ärztlichen Befund, die Behandlungsdokumentation und die Rezepthistorie.

Warum haben Sie sich für einen externen Datenschutzbeauftragen entschieden?

Über das Wissen für die Erstellung, Implementierung und Einhaltung eines Datenschutzkonzepts verfügt unserer Meinung nach nur ein Profi als externer Datenschutzbeauftragter. Dies trifft insbesondere auf kleinere Unternehmen zu, die ihre Personalressourcen sehr gezielt einsetzen müssen. Außerdem kann ein „professioneller Datenschützer“ die ganzen Prozesse viel schneller abwickeln – schließlich macht er das ja den ganzen Tag und verfügt über entsprechende Erfahrung.

Was hat sich durch die Beratung der activeMind AG in Ihrem Unternehmen verändert?

Wir konnten bei allen betroffenen Mitarbeitern das Bewusstsein zum Schutz von personenbezogenen Daten stark erhöhen.

Können Sie das erreichte Datenschutzniveau nutzen, um besser Neukunden zu gewinnen?

Indirekt hilft der bei iPrax umgesetzte Datenschutz sicherlich. Unsere Kunden prüfen uns zwar in der Regel nicht im Sinne einer Auftragsdatenverarbeitung. Sie gehen aber davon aus, dass alles technisch und organisatorisch Mögliche durch uns als Anbieter unternommen wird, um die gesetzlichen Vorgaben zum Schutz der Daten zu gewährleisten. Unser Datenschutzmanagement gewährleistet bestmöglich, dass wir dieses Vertrauen niemals aufs Spiel setzen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Zertifizierung nach ISO 27001 und ISO 9001 für MediaKom (Best Practice)

Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren Informationssicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Dazu kommt, dass die DSGVO die Sicherstellung der Integrität, Verfügbarkeit und Sicherheit von Daten verlangt. Genau diese Anforderungen werden auch bei einer ISO 27001-Zertifizierung geprüft. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best Practice Interview.

Warum spielen IT-Sicherheit und Datenschutz für Ihr Unternehmen eine besonders große Rolle?

Als Mailing- und BPO-Dienstleister verarbeiten wir täglich sensible personenbezogene Daten unserer Kunden, z. B. Krankenkassen, Gewerkschaften, Versicherungen, Kirchen oder Banken. Insofern stellen die Themen Datenschutz und Datensicherheit unternehmensweit eine übergeordnete Anforderung dar. Hierbei spielt die Einhaltung der strengen Vorgaben der Datenschutzgesetze sowie des Sozialgesetzbuches für uns die zentrale Rolle.

Welche Vorteile einer IT-Sicherheitszertifizierung nach ISO 27001 sehen Sie im B2B-Bereich?

Die ISO 27001 ist zwar keine gesetzliche Forderung, jedoch erfüllt sie umfangreiche gesetzliche Auflagen und bietet viele Vorteile. Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten, die ein hohes Maß an Datenschutz und Datensicherheit erfordern, lässt sich mit ihr eindeutig nachweisen, dass beispielsweise Sicherheitsanforderungen nach § 11 BDSG erfüllt sind. Und in den letzten Jahren stellen wir fest, dass die ISO 27001 bei vielen unserer Kunden eine Mindestvoraussetzung für die Auftragsvergabe ist, was wir natürlich sehr begrüßen.

Wieso entschieden Sie sich bei der Vorbereitung für die Zertifizierung auf einen externen Dienstleister wie die activeMind AG zu setzen?

Zwar haben Datenschutz und IT-Sicherheit und die damit verbundene Einhaltung von gesetzlichen Anforderungen für uns schon immer eine sehr hohe Bedeutung, der Umgang mit den Anforderungen einer ISO-Norm war jedoch zum damaligen Zeitpunkt für uns neu. Als wir uns im Jahr 2010 für die Zertifizierung nach DIN ISO/IEC 27001 entschieden, suchten wir also einen Dienstleister, der uns vollumfänglich beim Aufbau unseres Informationssicherheits-Managementsystems (ISMS) unterstützt und dementsprechend auch über ausreichend Erfahrung verfügt – die activeMind AG.

Wie verlief die Zertifizierung vom Erstkontakt bis zum finalen Audit?

Im Dezember 2010 beauftragten wir die activeMind mit der Durchführung einer Erstaufnahme im Bereich Informationssicherheit und Qualitätsmanagement. Auf Basis der bestehenden Unterlagen wurde uns im Januar/Februar 2011 der umfangreiche Dokumentenrahmen – angepasst auf die Bedürfnisse unseres Unternehmens – durch die activeMind zur Verfügung gestellt.

Im Rahmen einer Kick-Off-Veranstaltung für alle Mitarbeiter und die Geschäftsführung wurde das Unternehmen auf die kommenden Schritte bis zur Zertifizierungsreife vorbereitet. Schulungen durch die activeMind AG für Qualitätsmanagement- und Sicherheitsbeauftragte halfen bei der Einarbeitung in die anspruchsvollen Themengebiete der Normen.

Bereits im März 2011 wurde eine umfangreiche Risikoanalyse durchgeführt. Auf Basis der Ergebnisse konnten zusätzliche Schwachstellen erkannt und bestehende Maßnahmen priorisiert werden. Im Mai 2011 erfolgte eine vollständige interne Auditierung nach ISO/IEC 27001 und DIN ISO 9001 unter Zertifizierungsbedingungen durch activeMind. Dieses Audit zeigte den aktuellen Status der Umsetzung und bereitete die Mitarbeiter optimal auf das kommende Zertifizierungsaudit vor.

Ende Juni 2011 erfolgte dann die Auditierung durch den TÜV Hessen. Das Ergebnis war die uneingeschränkte (!) Empfehlung der Auditoren für beide Zertifikate ohne Abweichungen.

In welchem Zeitrahmen konnten Sie Ihr ISO 27001-Zertifikat erlangen?

Vom Zeitpunkt der Entscheidung uns nach ISO/IEC 27001 und zusätzlich DIN ISO 9001 zertifizieren zu lassen bis zur Zertifizierung durch den TÜV Hessen benötigte es ca. sechs Monate.

Die erste Re-Zertifizierung haben Sie bereits erfolgreich absolviert. Inwiefern konnten Sie Ihr Informationssicherheits-Managementsystem noch verbessern?

Die wesentliche Verbesserung sehen wir darin, dass die Anforderungen der Norm mittlerweile vollständig in unsere Geschäftsprozesse integriert sind und vor allem auch bei den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Datenschutz und Datensicherheit noch einmal deutlich gesteigert werden konnte. Aber natürlich wurden in den letzten Jahren auch viele Sicherheitsmechanismen überarbeitet, denn ein ISMS ist ein dynamischer Prozess und lebt von der regelmäßigen Auditierung. Die activeMind AG unterstützt uns dabei kontinuierlich, indem Sie jährlich interne Audits zur Vorbereitung auf die Zertifizierungsaudits durchführt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

7 wichtige Grundlagen des Datenschutzes im Unternehmen

Die Kontrollen der Aufsichtsbehörden im Bereich des unternehmerischen Datenschutzes nehmen stark zu; häufig werden Versäumnisse aufgedeckt. Dabei ist die Erfüllung der wichtigsten Anforderungen oft schon mit geringen Aufwand möglich. Deshalb haben wir Ihnen regelmäßig auftretende Datenschutz-Versäumnisse und ihre schnelle Behebung zusammengetragen.

1. Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO schreibt vor, dass jedes Unternehmen ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten führen muss. Darin wird der Umgang des Unternehmens mit personenbezogenen Daten dokumentiert. Es enthält u. a. Informationen über das Unternehmen selbst, die Zwecke der Datenverarbeitung, die Kategorien der von der Datenerhebung Betroffenen sowie Regelfristen für die Löschung dieser Daten. Das Verzeichnis von Verarbeitungstätigkeiten dient in erster Linie als Nachweis gegenüber den Datenschutzaufsichtsbehörden.

Viele Unternehmen vernachlässigen diese gesetzliche Pflicht und führen kein oder nur ein unzureichendes Verfahrensverzeichnis. Damit schaden sie jedoch nicht nur ihrer Vertrauenswürdigkeit gegenüber Kunden, sondern erschweren sich selbst auch die interne Organisation und setzen sich der Gefahr eines hohen Bußgeldes aus, da die Verzeichnisse den Aufsichtsbehörden auf Verlangen vorgelegt werden müssen. Immerhin macht ein fehlendes Verfahrensverzeichnis nach strenger juristischer Betrachtungsweise die gesamte betreffende Datenverarbeitung rechtswidrig.

Hier finden Sie eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zum kostenlosen Download.

2. Auftragsverarbeitungs-Verträge

Die meisten Unternehmen bedienen sich externer Dienstleister, um personenbezogene Daten zu verarbeiten. Die Auftragsbreite reicht von der Entsorgung von Papierabfällen bis zur Wartung der IT-Systeme oder auch der Zurverfügungstellung von Rechenkapazität (Cloud-Computing).

In all diesen Fällen bleibt jedoch das auftraggebende Unternehmen für die Einhaltung des Datenschutzes verantwortlich. Deshalb sieht das Gesetz vor, dass jeweils ein Auftragsverarbeitungsvertrag (AV-Vertrag oder auch Vertrag über Auftragsverarbeitung) zwischen den Parteien geschlossen wird, der bestimmte Mindestanforderungen erfüllen muss. Hierbei haben viele Unternehmen jedoch Schwierigkeiten, weshalb Verträge vielfach fehlen oder die abgeschlossenen Verträge oft nicht dem gesetzlichen Standard entsprechen und Bußgelder drohen.

Wir bieten ein kostenloses DSGVO-konformes Muster für einen AV-Vertrag zum Download an.

3. Datenschutzbeauftragter

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Dieser hat innerhalb des Unternehmens die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Dies ist jedoch oftmals eine sehr anspruchsvolle Aufgabe, da neben Organisationsvermögen, Zuverlässigkeit und datenschutzrechtlichen Kenntnissen auch technisches Wissen und ein geübter Umgang mit IT erforderlich sind. Ein Mitarbeiter ohne diese Soft-Skills und Fachkunde eignet sich daher nicht als Datenschutzbeauftragter bzw. sind intensive Schulungen zu empfehlen.

Obendrein darf auch kein Interessenskonflikt bestehen, so dass der Datenschutzbeauftragte weder Teil der Geschäftsführung sein, noch der Führung der Personal- oder IT-Abteilung angehören darf (mehr dazu in unserem Whitepaper zum betrieblichen Datenschutzbeauftragten).

Deswegen ist oftmals die Bestellung eines externen Datenschutzbeauftragten anzuraten, da aufgrund der Komplexität der Sachlage nur dieser in der Lage ist, den gesetzlichen Mindeststandard im Unternehmen herzustellen.

4. Lösch- und Sperrkonzepte

Die Datenschutz-Grundverordnung sieht strenge Regelungen für die Speicherung personenbezogener Daten vor. So dürfen diese stets nur so lange gespeichert werden, wie diese auch wirklich benötigt werden. Andererseits gibt es manchmal auch gesetzliche Aufbewahrungsfristen, so dass Daten über einen gewissen Zeitraum gespeichert werden müssen – und zwar getrennt von den Daten des alltäglichen Geschäfts.

Daher sollte jedes Unternehmen (neben dem Datensicherungskonzept) über ein Lösch- und Sperrkonzept verfügen, da die unbefugte Speicherung von personenbezogenen Daten ein schwerwiegender Verstoß gegen die DSGVO darstellt und mit hohen Bußgeldern belegt wird.

5. Informationspflichten

Spätestens mit Erhebung der Daten müssen Betroffene u.a. über den Verantwortlichen für die Datenverarbeitung, dessen Datenschutzbeauftragten, die Zwecke der Datenverarbeitung und etwaige Empfänger der Daten informiert werden. Die Informationspflichten müssen gegenüber sämtlichen Betroffenen erfüllt werden. Dazu zählen Mitarbeiter  wie Besucher der Unternehmenswebsite.

Zur Erfüllung Ihrer Informationspflichten, stellen wir Ihnen gleich mehrere kostenlose Generatoren bereit:

6. Beachtung von Auskunftsrechten

Vielen Unternehmen ist nicht bekannt, dass die von der Datenspeicherung Betroffenen von den entsprechenden Unternehmen jederzeit Auskunft u. a. über Art, Umfang und Zweck sowie eine mögliche Weitergabe an Dritte verlangen können.

Mehr Informationen dazu finden Sie in unserem Ratgeber zu Betroffenenrechten und zum Umgang mit Anfragen von Betroffenen.

7. Verpflichtung auf das Datengeheimnis

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, personenbezogene Daten zu anderen als den  erforderlichen Zwecken zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung eines Mitarbeiters darauf zu achten, dass dieser auf das Datengeheimnis verpflichtet wird. Andernfalls sollte dies unverzüglich nachgeholt werden.

Ein entsprechendes Verpflichtungsformular zur Erfüllung der Anforderungen haben wir Ihnen als Vorlage erstellt.

Fazit: Betrieblicher Datenschutz ist kein Hindernis

Wenn Sie in Ihrem Unternehmen die genannten sieben Schritte ausreichend umsetzen, dürften Sie in Sachen Datenschutz bereits recht gut dastehen. Ob eine vollständige Compliance mit der DSGVO erreicht wurde, kann natürlich nur durch einen Datenschutzexperten beurteilt werden.

Dieser aktualisierte Artikel erschien zuerst am 6. Dezember 2014.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: