Kündigungsschutz auch für stellvertretende Datenschutzbeauftragte

Mitarbeiter, die als (interner) betrieblicher Datenschutzbeauftragter bestellt sind, genießen gemeinhin Kündigungsschutz. Ein aktuelles Gerichtsurteil erweitert diesen Schutz nun auch auf Stellvertreter des Datenschutzbeauftragten. Unternehmen, die ein ganzes Team bzw. eine Abteilung mit dem unternehmerischen Datenschutz beauftragen, sollten also sehr genau darauf achten, welche Mitarbeiter sie dort einsetzen. Doch es gibt eine Alternative für alle, die sich durch diesen Kündigungsschutz zu sehr eingeschränkt fühlen.

Der Kündigungsschutz des internen Datenschutzbeauftragten

Unter der europäischen Datenschutz-Grundverordnung (DSGVO) – wie auch schon unter dem alten Bundesdatenschutzgesetz (BDSG) – gilt, dass der interne Datenschutzbeauftragte gegen seinen Willen nicht abberufen werden kann. Während bestehender Bestellung sowie ein Jahr nachwirkend ist eine ordentliche Kündigung ausgeschlossen.

Bereits deshalb waren Unternehmen sehr gut beraten, sich reichlich zu überlegen, welchem Mitarbeiter diese Aufgabe übertragen wird.

Bisher war gängige Ansicht, dass der Kündigungsschutz nur für den ersten bestellten Datenschutzbeauftragten galt. Immerhin ist die Pflicht zur Bestellung mit dieser einen Bestellung erfüllt. Die bestellte Person hat sämtliche Rechte und Pflichten des Datenschutzbeauftragten.

Urteil: Kündigungsschutz gilt auch für Stellvertreter des Datenschutzbeauftragten

Eine neuere Entscheidung des Bundesarbeitsgerichts vom 27. Juli 2017 erweitert den Kündigungsschutz nun auch auf Stellvertreter des Datenschutzbeauftragten (2 AZR 812/16). Das Bundesarbeitsgericht interpretiert die Vorschrift des § 4f Abs. 3 S. 5 BDSG (der alten Fassung!) weiter. Der Kündigungsschutz soll danach gelten, sobald die verantwortliche Stelle allgemein zur Bestellung eines Datenschutzbeauftragten verpflichtet ist; nicht aber nur für den ersten Datenschutzbeauftragten. Nachdem sich diese Regelung lediglich an anderer Stelle, aber exakt so auch im BDSG-neu findet, gilt dies weiterhin.

Nach Auffassung des Bundesarbeitsgerichts ist es unerheblich, ob die Bestellung eines weiteren Datenschutzbeauftragten überhaupt erforderlich war, um die im Betrieb anfallenden Aufgaben zu erledigen. Allein entscheidend sei, ob der Stellvertreter eigenverantwortlich und frei von Weisungen die Aufgaben eines Datenschutzbeauftragten wahrnehmen soll.

Dies trifft ganz eindeutig dann zu, wenn der Vertreter den ursprünglich bestellten Beauftragten für Datenschutz nicht nur kurzfristig vertreten soll, sondern einspringt, weil der eigentlich bestellte Datenschutzbeauftragte längerfristig verhindert ist.

Was bedeutet das Urteil für die Praxis?

Unternehmen, die gegebenenfalls aufgrund der Vielzahl der zu erledigenden Aufgaben des Datenschutzbeauftragten ein ganzes Datenschutzteam aufbauen bzw. für eine laufende Stellvertretung Sorge zu tragen haben, müssen damit rechnen, sich bei interner Bestellung möglicherweise gleich an mehrere Personen sehr dauerhaft zu binden. Der interne Datenschutzbeauftragte kann grundsätzlich nur beim Vorliegen eines außerordentlichen Grundes gekündigt werden.

Unternehmen, die sich sorgen, aufgrund dieses Kündigungsschutzes personelle Ressourcen zu blockieren, sollten über eine effiziente Alternative zum internen Datenschutzbeauftragten nachdenken. Die einfachste Möglichkeit besteht darin, einen externen Datenschutzbeauftragten zu bestellen. Denn dieser genießt keinen vergleichbaren Kündigungsschutz und erhält die für Unternehmen oftmals so notwendige Flexibilität.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde

Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 voll anwendbar. Aufgrund zahlreicher Änderungen bereiteten sich viele Unternehmen seit langem auf die neuen Datenschutzvorschriften vor. Nun gilt es, die ersten Handlungspflichten zu erfüllen. Eine davon ist die Meldung Ihres Datenschutzbeauftragten an Ihre Aufsichtsbehörde.

Nach Art. 37 Abs. 7 DSGVO muss der Datenschutzbeauftragte von Verantwortlichen und Auftragsverarbeitern der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Die meisten Aufsichtsbehörden haben vorgezogene Meldungen nicht akzeptiert. Die Meldung des Datenschutzbeauftragten soll online per Formular über die Webseiten der Aufsichtsbehörden erfolgen. Offensichtlich gibt es dabei bei einigen Aufsichtsbehörden Verzögerungen; einzelne haben daher die Frist für die Meldung verlängert.

Liste der Datenschutz-Aufsichtsbehörden

Bundesland

Meldung

Baden-Württemberg möglich
Bayern möglich (nach Registrierung), Frist bis 31. August 2018
Berlin möglich
Brandenburg möglich
Bremen noch nicht möglich
Hamburg möglich
Hessen möglich
Mecklenburg-Vorpommern möglich
Niedersachsen Meldung noch nicht möglich (kein aktuelles Formular)
Nordrhein-Westfalen Meldung ist möglich. Bis 31.12.2018 wird fehlende Meldung nicht als Verstoß geahndet.
Rheinland-Pfalz möglich
Saarland möglich
Sachsen möglich
Sachsen-Anhalt möglich
Schleswig-Holstein möglich
Thüringen möglich

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

5 Thesen zu Bußgeldern unter der DSGVO

Dass in der EU-Datenschutz-Grundverordnung (DSGVO) drastisch höhere Bußgelder vorgesehen sind, als im bisherigen Datenschutzrecht, hat mittlerweile wohl jedes Unternehmen gehört. Was aber bedeuten die neuen Bußgeldvorschriften in der DSGVO für die Praxis? Worauf müssen sich Unternehmen konkret einstellen? Während vieles davon abhängt, wie die Datenschutz-Aufsichtsbehörden tatsächlich sanktionieren, können wir einige gut begründete Thesen bereits jetzt aufstellen.

1. Bußgelder werden Pflicht

Datenschutzverstöße müssen künftig geahndet werden (Art. 83 DSGVO). Es steht also nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß „bestraft“ wird; lediglich über die Höhe des zu verhängenden Bußgeldes ist noch eine Entscheidung möglich. Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.

2. Bußgelder werden höher

Das „durchschnittlich“ verhängte Bußgeld wird deutlich steigen. Bisher endete der Regelrahmen für Bußgelder bei 50.000 Euro, in Ausnahmefällen bei 300.000 Euro. In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).

Mit welchen Strafen müssen Unternehmen demnach künftig rechnen? Aktuell liegen durchschnittliche Bußgelder in Deutschland bei 10.000 bis 15.000 Euro, wie die Aufsichtsbehörden selbst mitteilen. Die Aufsichtsbehörden verlangen also etwa 20 bis 25 % der möglichen Maximalstrafe. Bei gleicher Praxis müssten durchschnittliche Bußgelder unter der DSGVO bei 4 bis 5 Mio. Euro liegen.

Zu solch drastischen Strafgeldern wird es vermutlich nicht kommen. Aber es ist klar, dass die Bußen steigen – und so ist es vom Gesetzgeber auch eindeutig beabsichtigt. Wie die Aufsichtsbehörden künftig ahnden, wird man abwarten müssen. Auf einer aktuellen Veranstaltung äußerte sich jedoch ein Landesbeauftragter für Datenschutz beispielhaft zu Fehlern bei der Bestellung des betrieblichen Datenschutzbeauftragten: Bei nicht korrekter Bestellung ist offenbar künftig mit 300.000 Euro Bußgeld zu rechnen!

Interessant bzw. schmerzhaft dürften auch die Regressansprüche gegen Datenschutzbeauftragte werden, wenn diese nicht die persönlichen und fachlichen Voraussetzungen mitbringen – und dies hätten erkennen können. Die Bußgelder erreichen zukünftig Höhen, die Unternehmen nicht mehr einfach „schlucken“.

3. Bußgelder werden häufiger verhängt

Die Aufsichtsbehörden werden künftig häufiger von Datenschutzverletzungen erfahren, denn diese sind unter der DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig! Da die Aufsichtsbehörden ahnden müssen (siehe oben), werden sie häufiger Bußgelder verhängen.

Hinzukommt, dass das öffentliche Bewusstsein, ein Recht auf Datenschutz zu haben, deutlich gestiegen ist. Beschwerden bei den Aufsichtsbehörden nehmen bereits seit einiger Zeit zu. Eine solche Beschwerde bei einer Behörde – die jedem möglich ist – ist zudem ein einfaches und unter Umständen sehr taugliches Mittel, um ein Unternehmen, über das man sich geärgert hat, „zurück zu ärgern“.

4. Gerichtsverfahren zu Bußen werden zunehmen

Aktuell zahlen viele Unternehmen ein Bußgeld lieber, als den unangenehmen Datenschutz-Vorfall an die große Glocke zu hängen. Diese Entscheidung ist bei „nur“ 15.000 Euro Bußgeld durchaus nachvollziehbar. Bei sechs- oder siebenstelligen Summen sieht das schon anders aus. Widersprüche, Prozesse und öffentliche Gerichtsverhandlungen sowie veröffentlichte Urteile dürften mit einer gewissen Verzögerung die Regel werden.

Dass Unternehmen im Falle eines Falles auch versuchen werden, sich vom eigentlichen Verursacher wenigstens einen Teil des Bußgeldes zurückzuholen, ist ebenfalls vorhersehbar. Klagen gegen Geschäftsführer, verantwortliche Sachbearbeiter, eingesetzte Dienstleister (Auftragsverarbeiter) oder aber eben auch gegen Datenschutzbeauftragte werden sicher häufiger.

5. Bußgelder werden sich EU-weit angleichen

Zu guter Letzt ist davon auszugehen, dass ein europäischer Angleichungsprozess entsteht. Es kann schließlich nicht weiterhin sein, dass in einigen EU-Mitgliedsländern der Datenschutz eher streng durchgesetzt wird und in anderen kaum. Ebenso wenig sollten in einem Land heftige Bußgelder verhängt werden und in anderen eher milde Strafen. Das würde die Rahmenbedingungen und letztlich den Wettbewerb verzerren.

Spätestens auf Ebene der EU dürfte daher eine aufmerksame Kontrolle und Korrektur stattfinden, wenn es in Einzelstaaten nicht so läuft, wie mit der DSGVO geplant. Einige Länder und die dortigen Unternehmen dürften sich also bald umgewöhnen müssen, was den Verfolgungsdruck angeht.

Aufgrund dieser rechtlichen Harmonisierungsbestrebungen der EU wird es also (zumindest mittelfristig) kaum einen Unterschied machen, ob eine italienische, estnische oder deutsche Aufsichtsbehörde Datenschutz-Verstöße ahndet.

Fazit: Vorsorge ist viel, viel besser, als das Nachsehen zu haben

Zusammengefasst werden Bußgelder unter der Datenschutz-Grundverordnung überall höher und häufiger verhängt werden. Die umtriebigen Vorbereitungen und Umfragen der Aufsichtsbehörden deuten darauf hin, dass mit Anwendbarkeit der DSGVO am 25. Mai 2018 schnell, koordiniert und konsequent gehandelt wird.

Unternehmen ist deshalb nur zu raten, durch entsprechend gute Vorbereitung erst gar nicht in die Verlegenheit zu kommen, sich mit Bußgeldern auseinandersetzen zu müssen. Ein proaktiver Kontakt mit der zuständigen Datenschutzbehörde kann dabei sehr hilfreich sein. Insbesondere die bereits sehr erfahrenen und breit aufgestellten deutschen Aufsichtsbehörden gelten als kooperativ und unterstützen gerne.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Auftragsverarbeitung bleibt unter DSGVO offenbar weiterhin privilegiert

Wie die activeMind AG aus „gut informierten Kreisen“ erfahren hat, scheinen sich die Datenschutz-Aufsichtsbehörden in Deutschland einig zu sein, die Auftragsverarbeitung unter der EU-Datenschutz-Grundverordnung (DSGVO) auch weiterhin als privilegiert anzusehen. Die Konsequenzen daraus beträfen fast alle Unternehmen.

Was bedeutet die Privilegierung?

Eine Privilegierung bedeutet, dass personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder gar die Einwilligung der Betroffenen an einen Auftragsverarbeiter weitergegeben werden dürfen.

Der Auftragsverarbeiter wird also – unter der DSGVO ebenso wie schon unter dem alten Bundesdatenschutzgesetz (BDSG) – als ein Teil der verantwortlichen Stelle behandelt. Bei strenger Auslegung der DSGVO ist die Weitergabe oder Zurverfügungstellung von Daten an einen „Empfänger“ im Sinne des Art. 4 Nr. 9 DSGVO (hier gehört der Auftragsverarbeiter dazu!) eine „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO, die einer Rechtsgrundlage bedarf.

Die Privilegierung der Auftragsverarbeitung unter der DSGVO

Während das alte BDSG die Privilegierung der Auftragsverarbeitung explizit enthielt, sagt die DSGVO hierzu nichts Greifbares. Datenschutzexperten diskutierten deshalb bis zuletzt darüber, ob Auftragsverarbeiter im Sinne der DSGVO als Teil der verantwortlichen Stelle zu betrachten seien oder nicht. Gerade in Bereichen, in denen besondere personenbezogene Daten betroffen sind, wären in der Praxis erhebliche Probleme zu erwarten gewesen.

Wie es aussieht, sind die deutschen Datenschutzaufsichtsbehörden jedoch zu dem Schluss gekommen, die Privilegierung der Auftragsverarbeitung als solche beizubehalten – trotz unklarer Rechtslage. Das ist aus Sicht der Praxis sehr zu begrüßen und hätte u. a. folgende Konsequenzen:

  1. Es wird auch künftig keine zusätzliche Rechtsgrundlage notwendig sein, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
  2. Durch den Wegfall der im alten BDSG noch vorhandenen regionalen Beschränkung wird die Auftragsverarbeitung künftig aber auch außerhalb der EU bzw. des EWR als solche möglich sein. Grundsätzlich wird also die Einschaltung eines internationalen Dienstleisters einfacher, falls (!) der Anbieter in der Lage und bereit ist, einen tauglichen Vertrag zur Auftragsverarbeitung abzuschließen. Die hierbei im internationalen Umfeld zusätzlich bestehenden Anforderungen müssen aber weiterhin erfüllt sein, insbesondere müssen Datenschutzgarantien erbracht werden!
  3. Die anstehende Änderung des § 203 StGB für Berufsgeheimnisträger hätte tatsächlich den beabsichtigten Erfolg, dass auch hier bei der Auftragsverarbeitung keine zusätzlichen Hürden genommen werden müssen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

EU-Standardvertragsklauseln vor Gericht

Die sogenannten EU-Standardvertragsklauseln werden von höchstrichterlicher Stelle geprüft. Der irische Gerichtshof hat die Frage der Rechtmäßigkeit der Klauseln dem Europäischen Gerichtshof (EuGH) vorgelegt. Nachdem der EuGH im Jahr 2015 bereits das Safe-Harbor-Abkommen für ungültig erklärte, ist die gerichtliche Überprüfung der Standardvertragsklauseln für Datenschutzexperten keine große Überraschung. Ein ähnlich vernichtendes Urteil würde jedoch alle Unternehmen, die personenbezogene Daten in die USA übermitteln, vor sehr große Probleme stellen.

Selbst wenn alle anderen Voraussetzungen erfüllt sind, bedarf es für die Übermittlung und Verarbeitung von personenbezogenen Daten in Drittstaaten (also außerhalb der EU bzw. des EWR) immer noch zusätzlich Garantien, dass die personenbezogenen Daten dort im vergleichbaren Maße wie in der EU geschützt werden. Als solche Garantien gelten ein Angemessenheitsbeschluss der EU-Kommission oder eben bestimmte Vertragskonstrukte, wie die EU-Standardvertragsklauseln sie gemäß Art. 46 DSGVO (EU-Datenschutz-Grundverordnung) darstellen.

Laut einer aktuellen repräsentativen Umfrage des Branchenverbandes Bitkom setzen derzeit tatsächlich acht von zehn Unternehmen (79 %), die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln. Nur 13 % nutzen das EU-U.S. Privacy Shield, die Nachfolgeregelung von Safe Harbor.

Der irische Gerichtshof hat jedoch generelle Zweifel, ob die Grundrechte europäischer Bürger in den USA gewahrt werden, insbesondere, ob die Möglichkeit auf Rechtsschutz besteht. Eben dies war auch der wesentliche Inhalt des Urteils, das Safe Harbor zu Fall brachte. Mit dieser Argumentation könnte übrigens auch das Privacy Shield bald infrage gestellt werden. Im Ergebnis steht der Datenverkehr mit der USA insgesamt auf dem Prüfstand!

Unternehmen, die auf Basis von EU-Standardvertragsklauseln Daten in die USA übermitteln bzw. dort verarbeiten lassen, müssen nun keinesfalls in Panik verfallen. Das Interesse der EU an einem Austausch europäischer und US-Unternehmen dürfte derart hoch sein, dass ggfs. schnell Nachfolgeregelungen gesucht werden. Wie diese aussehen, hängt aber vor allem auch vom Urteil des EuGHs ab und welche Anforderungen sich daraus entnehmen lassen. Es lohnt sich daher bereits jetzt, über Exitstrategien nachzudenken und diese z. B. durch den betrieblichen Datenschutzbeauftragten prüfen zu lassen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Technische und organisatorische Maßnahmen nach DSGVO

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer und organisatorischer Maßnahmen schützen. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt hierbei die vom alten Bundesdatenschutzgesetz (BDSG) gewohnten Datenschutzkontrollen sowie die Acht Gebote des Datenschutzes nach Anlage zu § 9 BDSG. Eine Konkretisierung bleibt in der DSGVO jedoch aus. Deshalb empfiehlt es sich, auf einen anderen Standard zurückzugreifen, um die Datenschutz– und Datensicherheits-Maßnahmen zu implementieren bzw. bei Dienstleistern zu überprüfen.

Was schreibt die DSGVO für Maßnahmen vor?

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Art. 32 dazu, „geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Was schreiben deutsche Aufsichtsbehörden für Maßnahmen vor?

Auch im neuen Bundesdatenschutzgesetz (BDSG-neu) finden sich für die Privatwirtschaft keine genaueren Definitionen zu den technischen und organisatorischen Maßnahmen. Die deutschen Aufsichtsbehörden haben sich jedoch die in der DSGVO genannten Begriffe – die alle als Ziele aus dem Bereich der Informationssicherheit bekannt sind – nun zu eigen gemacht. Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde eine Mustervorlage zur Beschreibung der „technischen und organisatorischen Maßnahmen“ herausgegeben. Darin werden aufgeführt:

  1. Pseudonymisierung;
  2. Verschlüsselung;
  3. Gewährleistung der Vertraulichkeit;
  4. Gewährleistung der Integrität;
  5. Gewährleistung der Verfügbarkeit;
  6. Gewährleistung der Belastbarkeit der Systeme;
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Das alte und neue Definitionsproblem der Maßnahmen

Schon im alten BDSG verwendeten die Acht Gebote des Datenschutzes aus Sicht des Datenschutz-Praktikers wenig aussagekräftige und schlecht voneinander abzugrenzende Begriffe. So unterstützen „verschlossene Türen“ sowohl Vertraulichkeit und Integrität als auch Verfügbarkeit. Sie müssten aber bei Anwendung der Systematik oder Gliederung des neuen Musterdokuments auch an allen drei Stellen genannt werden.

Leider hat auch der EU-Gesetzgeber die Chance nicht genutzt, klarzustellen, dass es sich bei den in der DSGVO genannten Maßnahmen in Wahrheit um Ziele handelt, die es mit entsprechenden Maßnahmen erst zu erreichen gilt.

Es wäre sehr zu begrüßen gewesen, statt einer nicht sonderlich brauchbaren Gliederung mehr konkrete Tätigkeiten oder Handlungsvorschläge zu liefern, die zur Erreichung der Sicherheitsziele geeignet sind. So steht die Praxis nun weiterhin vor dem Problem, selbst eine Lösung zu finden.

Die ISO 27002 als Hilfestellung

Wenn Sie in Ihrem Unternehmen geeignete technische und organisatorische Maßnahmen entwickeln und implementieren oder diese bei einem Auftragsverarbeiter überprüfen wollen, empfiehlt es sich deshalb, auf einen anderen Standard zurückzugreifen: Eine gute Hilfestellung bietet die ISO 27002, ein international anerkannter Leitfaden für Informationssicherheits-Maßnahmen.

Die Norm beschreibt ab Kapitel 5 detailliert und ganz konkret „gemeinhin akzeptierte Maßnahmen für die Informationssicherheit“. Ein an dieser Norm orientiertes Vorgehen stellt also sicher, keine wesentlichen Bereiche zu übersehen. Die Gliederung der ISO 27002 vermeidet außerdem Überschneidungen:

Hier wird beschrieben, welche Vorgaben und welche Unterstützung seitens der Unternehmens- oder Behördenleitung notwendig sind.

Dieses Kapitel enthält Hinweise, wie die Umsetzung der Informationssicherheit in einer Organisation eingeleitet und gesteuert werden kann. Die Informationssicherheit bei Telearbeit und der Nutzung von Mobilgeräten ist ebenfalls Thema.

Inhalt dieses Kapitels ist die Sicherstellung, dass Beschäftigte und Auftragnehmer für ihre Aufgaben geeignet sind und dass sie ihre Verantwortlichkeiten kennen und erfüllen.

Hier wird beschrieben, wie Werte der Organisation identifiziert und Verantwortlichkeiten festgelegt werden können, um ein angemessenes Schutzniveau zu erreichen. Ebenfalls wird eingegangen auf Maßnahmen gegen die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Informationen, die auf Datenträgern gespeichert sind.

Thema ist die Beschränkung des Zugangs zu Informationen und informationsverarbeitenden Einrichtungen und die Sicherstellung, dass nur befugte Benutzer Zugang zu Systemen und Diensten haben.

Dieses Kapitel behandelt alles, was mit dem wirksamen Gebrauch von Kryptographie in Verbindung steht.

Enthalten sind Maßnahmen, um unbefugten Zutritt, Beschädigungen oder andere Beeinträchtigungen von Informationen und informationsverarbeitenden Einrichtungen zu verhindern. Ebenfalls wird der Schutz vor Verlust, Beschädigung, Diebstahl oder Gefährdung von Werten und die Unterbrechung von Organisationstätigkeiten behandelt.

Kapitel 12 beschreibt den ordnungsgemäßen und sicheren laufenden Betrieb von informationsverarbeitenden Einrichtungen: etwa den Schutz vor Schadsoftware, den Schutz vor Datenverlust, die Sicherstellung der Integrität von Systemen im Betrieb.

Hier ist der Schutz von Informationen in Netzwerken und den unterstützenden informationsverarbeitenden Einrichtungen thematisiert. Auch die Sicherheit von übertragener Information, sowohl innerhalb einer Organisation als auch mit jeglicher externen Stelle, wird behandelt.

Dieses Kapitel soll sicherstellen, dass Informationssicherheit ein fester Bestandteil über den gesamten Lebenszyklus von Informationssystemen ist. Entwicklung und Testphasen sind einbezogen.

Hier wird der extrem wichtige Bereich „Dienstleister“ behandelt. Wie werden die für Lieferanten zugänglichen Werte des Unternehmens geschützt? Wie lässt sich ein vereinbartes Niveau der Informationssicherheit und der Dienstleistungserbringung bei Lieferantenverträgen aufrechterhalten?

Kapitel 16 beschreibt das Event- und Störungsmanagement. Wie sieht eine konsistente und wirksame Herangehensweise für die Handhabung von Informationssicherheitsvorfällen einschließlich der Benachrichtigung über Sicherheitsereignisse und Schwächen aus?

Welche Anforderungen bestehen an die eigene Betriebsbereitschaft und wie lässt sich diese aufrechterhalten? Wir wird die Verfügbarkeit von informationsverarbeitenden Einrichtungen sichergestellt?

Zuletzt wird das geeignete Vorgehen beschrieben, allgemein Verstöße gegen gesetzliche, regulatorische, selbstauferlegte oder vertragliche Verpflichtungen zu vermeiden.

Fazit: Anpassung auf Einzelfall bleibt notwendig

Mit der ISO 27002 liegt ein geeigneter Kriterienkatalog für die konkrete Umsetzung technischer und organisatorischer Maßnahmen (sogenannte „Controls“) vor, um die in der DSGVO genannten Schutzziele zu erreichen.

Welche der Maßnahmen der ISO 27002 welchen Zielen der Aufsichtsbehörden sowie der DSGVO dienen, können Sie dieser Tabelle unserer Datenschutz-Experten entnehmen (PDF-Download). Je nach Szenario der Datenverarbeitung im Unternehmen können aber auch andere Bewertungen erfolgen. Die Maßnahmen der ISO 27002 müssen deshalb stets auf den Einzelfall angepasst angewandt werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

DSGVO bringt neue Fallstricke für Berufsgeheimnisträger bei der Auftragsverarbeitung

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von Daten besonders heikel. Doch während die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) nun Erleichterungen bringt, kommt die europäische Datenschutz-Grundverordnung (DSGVO) mit neuen Hindernissen. Wer als Berufsgeheimnisträger eine Sanktion vermeiden will, kann eigentlich nur einen Weg gehen.

Das bisherige Problem für Berufsgeheimnisträger

Bei der Auftragsverarbeitung (nach alter Terminologie des BDSG: Auftragsdatenverarbeitung) gab es für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. alles richtigmachen und trotzdem eine Straftat begehen. Notwendig war nicht mehr, als einen (hoffentlich korrekten) Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen.

Der insoweit problematische § 203 StGB wird nun geändert. Der neue Absatz 3 stellt künftig klar, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung erfolgt. Notwendig ist dafür, dass die mitwirkende Person in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist. Diese Einbeziehung muss außerdem im Einvernehmen mit der schweigepflichtigen Person erfolgen. Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung kein Verstoß gegen die Schweigepflicht mehr vor.

Neue Hürden für Berufsgeheimnisträger durch die DSGVO

Mit der Datenschutz-Grundverordnung kommt jedoch ein neues Problem auf Berufsgeheimnisträger zu. Die DSGVO beseitigt die sogenannte Privilegierung der Auftragsverarbeitung. Bisher galt: Ein Auftragsverarbeitungsvertrag legitimiert datenschutzrechtlich alle Tätigkeiten des Verarbeiters, die für den Auftraggeber selbst zulässig waren.

Damit ist jetzt Schluss. Künftig muss die Einschaltung eines Dienstleisters zur Verarbeitung im Auftrag generell gesondert gerechtfertigt werden. Bisher galt dies lediglich bei Dienstleistern in einem Drittland (außerhalb der EU und des EWR).

Berufsgeheimnisträger müssen unter der DSGVO also zwar nicht mehr den Verstoß gegen die Schweigepflicht legitimieren. Stattdessen haben sie aber nun einen Erlaubnisgrund zu finden, um überhaupt einen Dienstleister einsetzen zu dürfen. Das mag im Bereich normaler personenbezogener Daten noch einigermaßen einfach sein. Sobald besondere Kategorien personenbezogener Daten betroffen sind (wie etwa Gesundheitsdaten), bleibt aus praktischer Sicht nur die Einwilligung der betroffenen Person. Gesetzliche Ausnahmen liegen für diese Datenkategorien in aller Regel nicht vor.

Fazit: Einwilligung bleibt notwendig

Die Änderung des § 203 StGB ist nur auf den ersten Blick eine Erleichterung bei der Auftragsverarbeitung. Berufsgeheimnisträger wie Ärzte, Anwälte etc. werden weiterhin nicht darum herumkommen, Patienten, Mandanten oder sonstige Kunden um Erlaubnis bzw. eine Einwilligung zu bitten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Anforderungen an die IT-Sicherheit für Websitebetreiber

Bereits im Juli 2015 wurden Betreiber von Websites durch das IT-Sicherheitsgesetz verpflichtet, ihre technische Umgebung ausreichend zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) fordert allgemein, dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Die Anforderungen sind jedoch sehr offen formuliert. Dieser Beitrag erklärt, welche IT-Sicherheitsmaßnahmen Websitebetreiber zu treffen haben.

Welche IT-Sicherheitsmaßnahmen sind erforderlich?

Der unbefugte Zugriff auf die Einrichtungen, mittels derer die Website betrieben wird, ist zu verhindern. Dritten darf es nicht möglich sein, den Server bzw. die IT-Systeme, auf denen die Website gehostet oder mittels derer sie administriert wird, auszulesen oder gar zu kompromittieren. Primär soll das dazu dienen, die immer stärker verbreiteten sogenannten „Drive-by-downloads“ zu verhindern, also solche Schadsoftware, die sich unbemerkt auf fremden Websites einnistet und die Rechner von Websitebesuchern infiziert.

Verhindert werden kann der unbefugte Zugriff Dritter auf Server und IT-Systeme unter anderem durch die sichere Konfiguration der eingesetzten Betriebssysteme, die Etablierung eines geeigneten Patch-Managements und den Einsatz einer Firewall, eines Virenscanners sowie von Intrusion-Detection-/Prevention-Systemen. Auch die Auswertung von Protokollen kann hilfreich sein.

Zudem verlangt das Gesetz auch den Schutz personenbezogener Daten, was durch den Einsatz von sicheren Verschlüsselungstechnologien geschehen kann. Dies umfasst neben einer verschlüsselten Datenhaltung auch den Einsatz von Transportverschlüsselungen, so dass der Weg der Daten zwischen Website und Browser des Besuchers ausreichend gesichert ist. Für Websites bedeutet dies insbesondere den Einsatz einer SSL- oder TLS-Verschlüsselung.

Ebenfalls betroffen sind aber auch entsprechende Analysetools für Websites, wie beispielsweise Google-Analytics, Piwik oder auch Wiredminds, da auch hier bis zur Anonymisierung der IP-Adressen eine Rückverfolgbarkeit einzelner Personen möglich ist. Beim Einsatz sind also ausreichend sichere Zugangspasswörter zu wählen, welche innerhalb eines angemessenen Zyklus gewechselt werden sollten.

Schließlich wird vom Gesetzgeber erwartet, dass Websitebetreiber ausreichende Sicherungen gegen Störungen durch äußere Angriffe, insbesondere DoS- oder DDoS- Attacken ergreifen. Solche Angriffe zielen darauf ab, dass die Website durch eine gezielt hervorgerufene Überlastung zusammenbricht und folglich nicht mehr erreichbar ist. Diese – zugegebenermaßen recht schwierige – Aufgabe wird die Praxis vor große Hürden stellen, da dauerhaft effektive Gegenmaßnahmen schwer zu finden sind.

Müssen alle Websitebetreiber die gleichen Sicherheitsmaßnahmen leisten?

Der Tatsache geschuldet, dass nicht alle Websitebetreiber das gleiche Maß an Sicherheit leisten können und müssen, hat der Gesetzgeber das Korrektiv der technischen Möglichkeit und wirtschaftlichen Zumutbarkeit von Sicherungsmaßnahmen geschaffen. Es ist also für jede Website individuell zu beurteilen, wie hoch die zu treffenden Sicherheitsmaßnahmen sein müssen.

Leider gibt der Gesetzgeber den Betreibern jedoch keine Kategorien an die Hand, die zu einer solchen Beurteilung herangezogen werden können. Deshalb wird man sich im Zweifel selbst helfen müssen und Kriterien wie die Reichweite des Angebots, die Menge und Kritikalität der Daten oder auch die regelmäßige Besucherzahl bemühen müssen. Dies schafft für die Betreiber von Websites auf der einen Seite natürlich Spielräume hinsichtlich der Umsetzung, auf der anderen Seite ist damit aber stets eine gewisse Unklarheit verbunden, ob das gesetzlich zu erfüllende Maß tatsächlich eingehalten wurde.

Hinweis: Die Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018 dürfte auf die folgenden Aussagen keinen Einfluss haben. Das Papier behandelt die Frage der anwendbaren Rechtsgrundlagen und geht auf Folgepflichten nicht ein. Da im Ergebnis DSGVO und IT-Sicherheitsgesetz gleichförmige Pflichten aussprechen, hätte auch ein „Totalentfall“ des 4. Abschnitts des TMG keine wesentliche Auswirkung.

Dieser aktualisierte Artikel wurde zuerst am 9. Juni 2016 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Verantwortung, Haftung & Delegierbarkeit des Datenschutzes im Unternehmen

Die Verantwortung für die Einhaltung des Datenschutzes trägt die „verantwortliche Stelle“. Handelt es sich um ein Unternehmen, kann diese Stelle natürlich nicht selbst handeln. Die Verantwortung für den Datenschutz im Unternehmen muss deswegen der Vertretungsberechtigte tragen, in der Regel der Geschäftsführer oder Manager. In der Praxis wird oft versucht, das Thema Datenschutz – zumindest ein Stück weit – zu delegieren. Vielfach erhofft sich die Geschäftsführung dadurch auch eine Übertragung der Verantwortung und im Ergebnis eine Befreiung von der eigenen Haftung. Jedoch kann durch die bloße Delegation einer Aufgabe keine Befreiung von der Verantwortung erreicht werden. Unter welchen Bedingungen zumindest eine anteilige „Enthaftung“ möglich ist, erläutert dieser Artikel.

Inwieweit kann der Datenschutz delegiert werden?

Selbst wenn Unternehmen einen Datenschutzbeauftragten bestellt haben, verringert sich nicht automatisch die Verantwortung der Unternehmensleitung für den Datenschutz. Denn die Pflichten des Datenschutzbeauftragten beschränken sich im Wesentlichen auf Beratungs- und Hinweispflichten in Bezug auf datenschutzrechtliche Belange. Die Geschäftsführung hat hingegen auch im Rahmen der Delegation die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes anzuwenden. Mit der Delegation einer Aufgabe geht die Verantwortung also nicht verloren, sie wandelt sich lediglich um. Denn bei der Delegation des unternehmerischen Datenschutzes auf einen Mitarbeiter muss die eigentlich verantwortliche Geschäftsführung besondere Kriterien erfüllen, um ihrer Sorgfaltspflicht nachzukommen.

Kriterien zur Delegation des Datenschutzes im Unternehmen

Auswahl geeigneter Mitarbeiter

Die Geschäftsführung hat sich bereits im Rahmen der Auswahl des Aufgabenempfängers zu vergewissern, dass dieser über ausreichende persönliche und fachliche Kompetenzen verfügt, um die Aufgabe fachgerecht durchzuführen (siehe auch der Beschluss des Düsseldorfer Kreis vom November 2010). Wann ein Mitarbeiter für eine bestimmte Position geeignet ist, bestimmt sich jeweils nach dem Einzelfall. Als Richtwert gilt: Je verantwortungsvoller die Aufgabe ist, desto größer sollte die Praxiserfahrung im künftigen Tätigkeitsbereich sein. Bei leitenden Angestellten sollte zudem darauf geachtet werden, dass diese über genügend Führungskompetenzen verfügen und auch in der Lage sind, größerem Druck standzuhalten. Zusätzlich sind Interessenskonflikte zu vermeiden: Niemand sollte einen Prozess überwachen, für den er selbst verantwortlich ist.

Einweisung in die Datenschutz-Aufgaben

Der Aufgabenempfänger sollte, soweit notwendig, vor der Aufnahme der Tätigkeit in sein neues Aufgabenfeld eingewiesen werden. Dabei sind ihm insbesondere die mit der neuen Tätigkeit verbundenen Aufgaben und Pflichten zu erklären sowie die gängigen Arbeitsabläufe zu erläutern. Auch der korrekte Umgang mit benötigten Betriebsmitteln, beispielsweise der Einsatz von Verschlüsselungs- und Datenübertragungstechnologien spielt hierbei ggf. eine wichtige Rolle.

Organisation & Position im Unternehmen

Ein besonderes Augenmerk verdient die Organisation bzw. die Position oder Rolle des mit dem Datenschutz Beauftragten im Unternehmen. Die Geschäftsführung sollte stets darauf achten, dass dem Aufgabenempfänger sämtliche Ressourcen zur Verfügung stehen, die zur Erfüllung der Aufgaben und Pflichten nötig sind. Auch müssen dem Empfänger die nötigen Kompetenzen und Berechtigungen eingeräumt und die entsprechenden Aufgabengebiete klar definiert werden.

Aus Gründen der Transparenz und Nachweisbarkeit sollten Gegenstand und Umfang der Delegation jeweils konkret schriftlich festgelegt werden. Denn genau dieses Schriftstück kann unter Umständen im Streitfall darüber entscheiden, wer die tatsächliche Verantwortung für ein (ausgebliebenes) Handeln trägt.

Datenschutz-Schulung und Aufklärung

Der Aufgabenempfänger sollte mit den einschlägigen gesetzlichen Bestimmungen vertraut gemacht werden. Je nach Reichweite der Tätigkeit kann eine allgemeine Belehrung unter Umständen nicht mehr ausreichend sein; stattdessen sind spezifische Fortbildungen zu Datenschutzthemen angemessen.

Zudem muss bei jedem Angestellten zu jeder Zeit Klarheit darüber herrschen, für welchen Teil des Betriebsablaufes der jeweilige Mitarbeiter verantwortlich ist und welche gesetzlichen Regelungen und anderweitigen Rahmenbedingungen bei der Ausübung der Tätigkeit einzuhalten sind.

Die Aufklärungs- und Schulungspflicht besteht übrigens grundsätzlich auch dann, wenn die Geschäftsführung davon ausgehen kann, dass der Mitarbeiter bereits über einschlägige Kenntnisse verfügt.

Kontrolle des ausgeübten Datenschutzes

Die Geschäftsführung muss sich grundsätzlich von der korrekten Erledigung der übertragenen Aufgaben überzeugen. Eine umfassende Pflicht zur Kontrolle der einzelnen Aufgaben besteht jedoch grundsätzlich nicht. Auch hier bestimmt sich der Umfang der Kontrolle entsprechend den Umständen des jeweiligen Einzelfalls. Wichtige Kriterien dabei sind insbesondere die Zumutbarkeit von Überwachungsmaßnahmen, die Unternehmensgröße, die Qualifikation des Mitarbeiters, die Bedeutung oder Komplexität der Aufgabe sowie der Aufbau der innerbetrieblichen Organisation. So kann im Regelfall die Durchführung von Stichprobenprüfungen für eine Erfüllung der Kontrollpflichten genügen. Ebenso ist zu erwarten, dass sich das Management regelmäßig durch die Beauftragten berichten lässt, um ggf. steuernd einzugreifen.

Fazit: Datenschutz ist delegierbar, die Haftung bleibt

Erst wenn alle oben genannten Kriterien bei der Delegation des Datenschutzes erfüllt sind, ist kein Zweifel an der Sorgfaltspflicht der Geschäftsführung mehr gegeben. Für die Geschäftsleitung kommt so eine Freizeichnung von der eigenen Verantwortlichkeit in Betracht, weil im es im deutschen Datenschutzrecht vor allem um den Nachweis getroffener Schutzmaßnahmen geht. Verantwortliche Manager müssen sich aber letztendlich von dem Traum verabschieden, den Datenschutz durch Delegation oder Bestellung eines Beauftragten vollständig ad acta legen zu können.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Mehr Datenschutz durch neues Melderecht

Seit November 2015 gilt in Deutschland ein neues Melderecht. Neben einer bundesweiten Vereinheitlichung des Meldewesens bringt das neue Meldegesetz vor allem auch eine längst überfällige Stärkung des Datenschutzes mit sich. Die bisherige Praxis bei der Auskunftserteilung durch die Meldebehörden wurde abgeschafft. Künftig sind die Hürden für Auskünfte seitens der Meldeämter deutlich höher. In diesem Artikel stellen wir Ihnen die datenschutzrelevanten Änderungen beim Melderecht vor.

Adressweitergabe: Einwilligung statt Widerspruch

In der ehemaligen Ausformung des Meldegesetzes gestattete die Rechtslage den Meldebehörden die Erteilung von Auskünften zum Zwecke der Werbung und des Adresshandels dem Grunde nach immer, außer es wurde seitens des Bürgers ein Widerspruch gegen die Auskunftserteilung erhoben. Für den Bürger bedeutete dies, dass er stets aktiv tätig werden musste, um eine Weitergabe der eigenen Daten zu verhindern. Bedenkt man dabei, über welche Arten von Daten die Meldeämter verfügen, war diese Widerspruchslösung eher ungeeignet, um einen angemessen Schutz der Bürgerdaten zu gewährleisten.

Dieses Modell wurde nun umgekehrt, eine Weitergabe der Daten zum Zweck der Werbung und des Adresshandels ist nur noch dann zulässig, wenn der Betroffene aktiv seine Einwilligung erklärt hat. Bleibt man also untätig bzw. gibt man keine Erklärung zum Thema Datenweitergabe ab, so darf eine solche also künftig nicht mehr stattfinden. Diese Variante dürfte dem Rechtsempfinden der Bürger zum Datenschutz im Ergebnis wohl wesentlich gerechter werden.

Datennutzung: Beschränkung durch Zweckbindung

Ebenfalls haben sich die Voraussetzungen für Auskünfte zur gewerblichen Nutzung geändert. So müssen künftig solche Auskunftsanfragen stets den Zweck der Anfrage angeben. Die weitere Nutzung der Daten darf sodann ausschließlich zu dem in der Anfrage angegebenen Zweck erfolgen. Diese Neuregelung ermöglicht künftig eine effektivere Kontrolle der Einhaltung des bereits bestehenden datenschutzrechtlichen Zweckbindungsgrundsatzes.

Zugriffserleichterung für Sicherheitsbehörden

Daneben bringt das neue Meldegesetz auch im Bereich des staatlichen Zugriffs eine Änderung mit sich. Denn Sicherheitsbehörden und andere, noch zu bestimmende, amtliche Stellen haben künftig durch die Einrichtung eines Online-Zugangs rund um die Uhr die Möglichkeit, auf die Meldedaten zuzugreifen. Dies soll insbesondere die Strafverfolgung erleichtern und effizienter gestalten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.