Outlook im Web: Datenschutz und Datensicherheit (Anleitung)

Für den sicheren Zugriff auf geschäftliche E-Mails von Zuhause oder unterwegs bietet sich vor allem Outlook im Web an (ehemals: Outlook Web App bzw. Outlook Web Access, OWA). Doch bei der Konfiguration von Outlook im Web und dem dahinterliegenden Exchange-Server sollten Sie einige Dinge beachten.

Das Problem: BYOD und Datenschutz

Viele Mitarbeiter sind grundsätzlich motiviert, auch unterwegs oder im Home-Office geschäftliche E-Mails zu lesen und ggf. auch zu bearbeiten. Während der Corona-Pandemie sind sogar viele dazu gezwungen.

Nicht allen Mitarbeitern stehen jedoch geschäftliche Geräte wie dienstliche Smartphones oder Laptops zur Verfügung. Werden aber geschäftliche Informationen auf Geräte übertragen, die sich außerhalb des Einflussbereichs des Unternehmens befinden (Stichwort: Bring Your Own Device, BYOD), wird es datenschutzrechtlich heikel.

Werden z.B. E-Mails durch Systeme abgerufen, die nicht Eigentum der verantwortlichen Stelle sind, entstehen mehrere Probleme:

  • Die Erfüllung der Datenschutz-Grundsätze nach Art. 5 DSGVO ist nicht mehr möglich. Insbesondere Zugangs- und Zugriffs-, aber auch die Eingabekontrolle sind regelmäßig nicht mehr zu gewährleisten.
  • Zudem müssen sich Unternehmer fragen, ob es sich in solchen Fällen nicht um eine „Übermittlung“ im gesetzlichen Sinne handelt, die schlicht verboten ist, solange man nicht eine passende Rechtsgrundlage dafür findet.
  • Oder das Unternehmen bewegt sich in den Bereich der Verarbeitung im Auftrag, wodurch die umfangreichen Pflichten nach Art. 28 DSGVO ausgelöst werden. Besonders die eventuell notwendigen Rechte, auch zu Kontrollen beim Arbeitnehmer zuhause, lösen selten Begeisterung aus.

Lösung: Datenhoheit bleibt auf dem Unternehmensserver

Umgehen lassen sich diese Probleme, indem das Unternehmen verhindert, dass die Daten den eigenen Herrschaftsbereich verlassen. Der Zugriff auf E-Mails per Internetbrowser kann hierzu eine Lösung darstellen. Hierbei sind aber grundsätzlich die Anforderungen des Art. 32 DSGVO zu beachteten, welcher Vorgaben für die technische Umsetzung zur Erfüllung der datenschutzrechtlichen Erfordernisse macht.

Wichtig ist also, dass beim Einsatz von Outlook im Web der dahinterliegende Exchange-Server eine ausreichende Sicherheit aufweist. Durch die Nutzung von Outlook im Web als weitere Zugriffsmöglichkeit auf ein System aus dem Internet, entsteht naturgemäß ein weiteres potenzielles Einfallstor für Angreifer.

Hierfür ist in jedem Fall darauf zu achten, dass alle relevanten Updates von Microsoft, welche den Einsatz von Exchange und des verwendeten Serverbetriebssystems betreffen, eingespielt sind und sichergestellt ist, dass diese auch künftig regelmäßig eingespielt werden.

Außerdem wird dringend dazu geraten, den Zugriff auf Outlook im Web nur durch Einsatz eines Reverse Proxys (z.B. über die Firewall) zu gestatten. Somit ist eine direkte Kommunikation zwischen dem Anfragenden und dem Exchange-Server nicht möglich, sondern läuft immer über den zwischengeschalteten Proxy.

Weiter empfiehlt sich der Einsatz eines Monitoring-Systems, etwa eines SIEM (Security Information Event Management), welches die Zugriffsversuche auf die von außen erreichbaren Systeme automatisiert überwacht und bei Auffälligkeiten entweder direkt Maßnahmen einleitet oder zumindest die verantwortlichen Mitarbeiter informiert.

Erfolgen mehrere Login-Versuche innerhalb kurzer Zeit von einer IP-Adresse auf den Zugang von Outlook im Web, so sollte eine temporäre IP-Sperre die Folge sein. Die Dauer der Sperre sollte dabei nicht zu kurz bemessen sein, etwa 6.000 Sekunden betragen.

Da Angreifer außerdem oft per Brute-Force-Attacke versuchen Nutzerkonten zu knacken, sollte alles dafür getan werden, diesen den Angriff so schwer wie möglich zu machen:

  • Zum einen empfiehlt es sich, für den Zugang zu Outlook im Web einen gesonderten Nutzer anzulegen, welcher nicht wie häufig aus Vorname bzw. Nachname des Mitarbeiters besteht, sondern vielmehr nicht mit diesem in Verbindung gebracht werden kann. Dies hat den Vorteil, dass Attacken, denen Listen mit Namen zugrunde liegen, hierbei schon ins Leere laufen.
  • Zum anderen ist auch auf die technische Erzwingung eines ausreichend langen, komplexen und sicheren Passwortes zu achten. Etwa die Vorgabe der Verwendung von mindestens zwölf Zeichen die Groß -und Kleinbuchstaben genauso beinhalten wie Ziffern und Sonderzeichen, bei gleichzeitiger Vermeidung von ganzen Wörtern. Dies erschwert zusätzlich noch Wörterbuchangriffe, bei denen Angreifer Listen aus bestehenden Wörterbüchern mehrerer Sprachen verwendet.
  • Zudem sollte in Betracht gezogen werden, sowohl die Nutzerkennung als auch die Passphrase in einem regelmäßigen Zyklus zu ändern, bzw. zu erneuern.

Der Zugriff auf OWA muss darüber hinaus zwingend über HTTPS erfolgen. Dafür sollten ausschließlich TLS-Versionen ab 1.2 eingesetzt werden. Dies folgt den Grundsätzen der sicheren Verschlüsselung von Websites.

Sicherer und datenschutzkonformer Einsatz von Outlook im Web durch optimale Konfiguration des Exchange-Servers

Entscheidend ist aus Sicht des Datenschutzes außerdem, dass nur der flüchtige Fernzugriff auf das E-Mailsystem erlaubt sein darf, die dauerhafte Übertragung von Daten – insbesondere durch den Download von Anhängen – aber verhindert wird. Hierfür bietet sich Outlook im Web als flexible technische Lösung an.

Exchange sieht Möglichkeiten vor, den Dateizugriff per Outlook im Web zu steuern. Hier ist es möglich, zwar den Abruf des Textes einer Mail zuzulassen, den Aufruf oder Abruf von Anhängen aber zu unterdrücken. Dies bewirkt, dass es nicht zu lokalen Kopien aufgerufener Anhänge kommen kann. Diese lokalen Kopien würden ansonsten regelmäßig entstehen, selbst wenn der Anhang nur betrachtet und nicht bearbeitet wurde.

Die notwendigen Einstellungen sind im Exchange Admin Center vorzunehmen.

  1. Im Bereich Berechtigungen finden sich die Outlook Web App-Richtlinien.
  2. In den Richtlinien lassen sich Regelungen für den Dateizugriff anpassen.
  3. Der Aufruf von Dateien lässt sich künftig verhindern, indem alle Optionen abgewählt werden.

Auf diese Weise werden der flüchtige Zugriff auf den Text von E-Mails und auch die Bearbeitung von Nachrichten ermöglicht, aber zugleich weitestgehend verhindert, dass Reste auf dem Computer verbleiben, von welchem aus der Zugriff erfolgte. Weiterführende Details, insb. für ältere Exchange Versionen, finden Sie im Technet von Microsoft.

Zusätzliche Konfiguration des verwendeten Webbrowsers für mehr Datenschutz und Datensicherheit

Um den Datenschutz abzurunden, empfiehlt es sich, auch den Browser, mit dem Outlook im Web genutzt wird, entsprechend zu konfigurieren. Hierzu sollte das Löschen der temporären Internetdateien (Browsercache) beim Ende der Sitzung vorgesehen werden oder gleich der private Modus (Firefox) bzw. Inkognito Modus (Chrome) genutzt werden.

Die Zugangsdaten für Outlook im Web sollten nicht im Browser hinterlegt werden, sondern bestenfalls über einen Passwortmanager verwaltet und generiert werden.

Diese Punkte können Sie beispielsweise über eine Richtlinie zum Datenschutz im Home-Office regeln.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

 

Geschrieben am:

Brexit-Deal: Die Auswirkungen auf den Datenschutz

Der Brexit ist vollzogen, die Übergangsfrist ist seit dem 31. Dezember 2020 vorbei. In sprichwörtlich letzter Sekunde haben sich das Vereinigte Königreich und die EU doch noch auf einen Brexit-Deal geeinigt. Neben vielen anderen Dingen ist in dem 1.250 Seiten umfassenden Vertrag (PDF) auch der Datenschutz geregelt – zumindest für eine gewisse Zeit. Die Regelungen finden sich im Kapitel „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ ab Seite 406.

Die gute Nachricht

Für Unternehmen, die personenbezogene Daten im Vereinigten Königreich verarbeiten oder speichern bzw. die dort mit Unternehmen zusammenarbeiten, gibt es immerhin eine gute Nachricht: Es gibt nach dem 1. Januar 2021 noch eine (weitere) Schonzeit.

  • Für vorerst vier Monate ist vereinbart, dass das Vereinigte Königreich nicht als Drittland gilt.
  • Es ist sogar vorgesehen, dass diese Frist sich automatisch um zwei weitere Monate verlängert.
  • Damit wäre ein Datentransfer zumindest bis zum 30. April 2021, vielleicht sogar bis zum 30. Juni 2021 unter unveränderten Bedingungen möglich.

Die nicht ganz so gute Nachricht

Beide Seiten können der automatischen Verlängerung widersprechen. Es ist also gut möglich, dass das Vereinigte Königreich doch noch relativ bald zum Drittland wird. Und damit bestehen zusätzliche Hürden, um personenbezogene Daten in das Vereinigte Königreich transferieren zu dürfen. Insbesondere wären auch die bereits bekannten Datenschutz-Garantien notwendig.

Die schlechte Nachricht

Eine dauerhafte Lösung ist das Ganze nicht. Es besteht zwar theoretisch die Möglichkeit, dass die EU-Kommission rechtzeitig einen Angemessenheitsbeschluss erlässt. Dann bliebe das Vereinigte Königreich zwar Drittland, dieses wäre aber aus Sicht des Datenschutzes „sicher“. Ob das allerdings in der knappen Zeit passiert, ist fraglich. Zudem haben Sicherheitsbehörden im Vereinigten Königreich ähnlich weitreichende Befugnisse, wie es beispielsweise in den USA der Fall ist. Die Konsequenzen sind bekannt – wir erinnern an das implodierte Safe Harbor, das unwirksame EU-U.S. Privacy Shield und nicht zuletzt die Nebenaussagen im Schrems-II-Urteil.

Diese Befugnisse für Sicherheitsbehörden waren bislang nicht beachtlich, da im Vereinigten Königreich als EU-Mitglied die DSGVO ja immerhin direkt galt und das Datenschutzniveau damit nicht nur „vergleichbar angemessen“, sondern gleich war. Die DSGVO schränkt nämlich die Befugnisse von Sicherheitsbehörden der EU-Mitglieder gar nicht ein!

Mit dem Austritt und der damit verbundenen Lösung vom EU-Recht aber gilt die DSGVO nicht mehr und die Angemessenheit würde mit Blick auf die komplette Rechtsordnung des betroffenen Staates beurteilt werden. Die Lage ist damit die Gleiche, wie etwa bei den Vereinigten Staaten. Ein Angemessenheitsbeschluss wäre daher inkonsequent und nicht zuletzt der Europäische Gerichtshof hätte vermutlich Einwände.

Der Hoffnungsschimmer

Falls wider Erwarten ein Angemessenheitsbeschluss käme, bevor die Übergangsfrist abläuft, könnte der Datentransfer weitergehen wie bislang.

Perspektiven für Unternehmen

Insgesamt bestehen leider noch viele Ungewissheiten. Die Übergangsfrist des Brexit-Deals ist unserer Einschätzung nach nichts weiter als ein Aufschub. Dass sich das Vereinigte Königreich weiter an ein Datenschutzrecht hält, das den immerhin als Gängelung und Bevormundung empfundenen EU-Vorstellungen entspricht, halten wir für ebenso unwahrscheinlich wie eine Beschneidung der Befugnisse der Sicherheitsbehörden. Angesichts der kurzen Schonfrist stellt sich auch die Frage, ob solche Gesetzesanpassungen überhaupt noch rechtzeitig kämen.

Für Unternehmen bleibt also entweder die Möglichkeit, nach alternativen Geschäftspartnern bzw. Dienstleistern innerhalb der EU zu suchen. Oder sie sorgen rechtzeitig dafür, dass zusätzliche Datenschutzgarantien vorliegen und defacto auch durchsetzbar sind. Dafür ist eine individuelle Beratung durch erfahrene Datenschutz-Juristen dringend anzuraten.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

EDSA-Empfehlungen zum Drittlandtransfer

Die Deutlichkeit des Schrems-II-Urteils des Europäischen Gerichtshofes (EuGH) hat Datenschutzexperten und auch Aufsichtsbehörden überrascht. Das Urteil hat eingeschlagen wie die sprichwörtliche Bombe und in allen beteiligten Kreisen größere Ratlosigkeit hinterlassen. Als einer der ersten wagt sich nun der Europäische Datenschutzausschuss (EDSA) aus der Deckung und gibt Empfehlungen, die wir in gebotener Kürze erläutern.

Update: Am 18. Juni 2021 wurde die in diesem Artikel besprochene Empfehlung in Version 2.0 vom EDSA angenommen. An der hier bereits beschriebenen Vorgehensweise ergeben sich keine Änderungen und auch hinsichtlich der vorgeschlagenen zusätzlichen Maßnahmen ergeben sich leider keine weiteren Offenbarungen. Soweit die betroffenen Daten dem Empfänger nicht vorenthalten werden können, bleiben starke Verschlüsselung und eventuell die Pseudonymisierung von Daten die zentralen Ansätze. Neue einfache Lösungen finden sich in dem Papier erwartungsgemäß nicht. Daten sind vor der Neugier staatlicher Stellen eben nur dann zuverlässig geschützt, wenn die Stellen sie nicht auslesen können.

Empfehlungen des EDSA beim Einsatz von SCC, BCR etc.

Zur Wiederholung: Neben dem eigentlichen Tenor, dass das EU-U.S. Privacy Shield unwirksam ist, enthält das EuGH-Urteil die allgemeine Aussage, dass die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwar weiterhin ein taugliches Mittel sind, um für ein grundsätzlich angemessenes Datenschutzniveau zu sorgen. Aber eben leider nicht alleine – Papier ist geduldig –, denn es muss im Zweifel gegebenenfalls durch zusätzliche Maßnahmen dafür gesorgt werden, dass das Datenschutzniveau tatsächlich angemessen ist.

Das Papier des EDSA zählt die hierfür notwendigen Schritte auf:

  1. Die relevanten internationalen Datenübertragungen müssen festgestellt werden. Wobei es hier auf die tatsächlichen Übertragungen ankommt, nicht lediglich auf die, die sich nach Vertrag aufdrängen. Es wird notwendig sein, die Datenflüsse insbesondere in Kooperationen und Auftragsverarbeitungs-Verhältnissen gegebenenfalls bis zu eingeschalteten Subdienstleistern nachzuverfolgen. In der Praxis wird man hier teilweise bereits an der mangelnden Transparenz insbesondere einiger großer Anbieter scheitern.
  2. Es muss untersucht werden, wie die identifizierten internationalen Datenübertragungen bislang geregelt und gegebenenfalls gerechtfertigt werden.

Hinweis: Diese beiden Schritte waren früher schon notwendig. Ab jetzt kommen zusätzliche Anforderungen hinzu und nun wird das Ganze kompliziert:

  1. Nunmehr muss festgestellt werden, inwieweit das vermeintlich angemessene Datenschutzniveau beim Empfänger in rechtlicher oder tatsächlicher Hinsicht beeinträchtigt werden kann. Hier wird in der Tat von Ihnen verlangt, sich im Detail mit den örtlichen Gesetzen und Gegebenheiten für Ihren Kooperationspartner oder Dienstleister in einem Drittland auseinanderzusetzen. Sie haben festzustellen, welche Beeinträchtigungen des Datenschutzniveaus möglich sind und ob diese für die betroffene Verarbeitung unter Berücksichtigung aller Umstände relevant sind.
  2. In einem folgenden Schritt muss nun überlegt werden, inwieweit diesen Beeinträchtigungen des Datenschutzniveaus durch geeignete Maßnahmen technischer, tatsächlicher oder vertraglicher Art begegnet werden kann. Diese Maßnahmen sind zu ergreifen.
  3. Soweit hierfür die Mitwirkung des Datenimporteurs im Drittland notwendig ist, sind die notwendigen Vereinbarungen zu schließen sowie andere formale Voraussetzungen zu erfüllen. Bitte denken Sie daran, dass Änderungen der EU-Standardvertragsklauseln nicht einfach so vorgenommen werden dürfen. Vielmehr müssen Änderungen von den Aufsichtsbehörden genehmigt werden. Derzeit werden die EU-Standardvertragsklauseln von der Kommission überarbeitet. Wir informieren Sie, sobald diese vorliegen.
  4. Zuletzt ist die Einhaltung der eigenen sowie vereinbarten Maßnahmen zu kontrollieren, und zwar – wie üblich – nicht nur einmalig, sondern regelmäßig während der gesamten Laufzeit. Das Gleiche gilt für die rechtlichen und tatsächlichen Umstände im Drittland, denen mit den zusätzlichen Maßnahmen begegnet wird. Ändern sich diese Umstände, muss reagiert werden.

Gerade der dritte Schritt stellt selbst Profis vor sehr hohe Herausforderungen. Ohne vertiefte Kenntnisse des fremden Rechtskreises und der dortigen Gegebenheiten ist eine Beurteilung nicht möglich. Man darf auch nicht aus dem Auge verlieren, dass es im Zweifel ja nicht nur um die „üblichen Verdächtigen“ großen Dienstleister mit ihren bekannten Standorten geht, sondern sehr schnell auch um kleinere Stellen in Ländern, mit deren Recht man bislang wenig oder gar nichts zu tun hatte.

Wie transparent in sämtlichen Fällen das Recht am Empfängerort ist und ob überhaupt eine Möglichkeit besteht, Beeinträchtigungen des Datenschutzes nicht nur erahnen, sondern konkret festzustellen, ist eine weitere Frage.

Zum vierten Schritt bietet das EDSA-Papier im Anhang diverse Beispiele. Ganz zentral wird auf eine starke und wirklich wirksame Verschlüsselung abgestellt. Daneben werden noch einige andere Lösungsansätze vorgestellt. Für die Einzelheiten verweisen wir auf das Papier.

Hinweise zur Verbindlichkeit des EDS-Papiers

Wir wurden aus der Leserschaft freundlicherweise darauf hingewiesen, dass es sich bei der Empfehlung des EDSA um keine verbindliche Vorgabe handelt. Das ist korrekt; die Aufsichtsbehörden und ihre Gremien sind nicht befugt, Gesetze oder Verordnungen zu erlassen. Sie können höchstens im Einzelfall rechtsverbindlich tätig werden, soweit sie dazu gesetzlich ermächtigt sind.

Andererseits: Irgendwie wird die Praxis auf das EuGH-Urteil reagieren und die darin enthaltenen Anforderungen erfüllen müssen. Allzu groß ist der Spielraum hierbei nicht. Es wird immer anfangs darum gehen, die Verhältnisse festzustellen, bei denen potentiell Handlungsbedarf besteht, weil ein Transfer in Drittländer erfolgt. Dann muss jeweils der konkrete Bedarf ermittelt und entsprechend gehandelt werden.

Man darf hierbei auch nicht vergessen, dass die korrekte Umsetzung des Datenschutzes originär den verantwortlichen Stellen obliegt. Es ist weder Aufgabe der Aufsichtsbehörden, hierzu passende Lösungen vorzugeben, noch müssen die Behörden Verantwortliche erst ausdrücklich anweisen, um Handlungsbedarf zu erzeugen. Natürlich kann und sollte soweit möglich abgewartet werden, welche Tendenzen die Aufsichtsbehörden erkennen lassen. Es wäre wirtschaftlich unvernünftig, voreilig in eine Richtung vorzupreschen, bei der sich im Nachhinein herausstellt, dass dieser Weg von den Aufsichtsbehörden nicht gebilligt wird.

Im vorliegenden Fall des Drittlandtransfers sind zumindest die ersten Schritte klar. Es ist Aufgabe der verantwortlichen Stellen, die Angemessenheit des Datenschutzniveaus im Einzelfall zu verifizieren; bestehende Vereinbarungen und erhaltene Versprechen einmal dahingestellt. Stellen sich Defizite heraus, müssen zusätzliche geeignete Maßnahmen ergriffen werden. Ist dies nicht möglich, kann der Drittlandtransfer nicht gerechtfertigt werden. Die oben dargestellten Schritte eins bis drei dürften damit ohne echte Alternative sein. Uns ist aus erster Hand bekannt, dass die Aufsichtsbehörden erwarten, dass sich verantwortliche Stellen jetzt zumindest soweit um die Angelegenheit kümmern. Welche Maßnahmen dann ergriffen werden können und als angemessen akzeptiert werden, kann ggf. etwas abgewartet werden.

Es ist sehr zu begrüßen, dass die zuständigen Behörden und Einrichtungen ausführliche Lösungsvorschläge für die Praxis machen oder aber, wenn man dies kritischer ausdrücken möchte, ihre Erwartungen transparent kommunizieren. Natürlich ist es jedem Verantwortlichen selbst überlassen, abzuwarten oder einen anderen Weg einzuschlagen und diesen im Ernstfall dann gerichtlich gegen die eigene Aufsichtsbehörde zu verteidigen. Wir legen jedem Verantwortlichen nahe, die hieraus entstehenden Risiken im Detail mit dem eigenen Datenschutzbeauftragten abzuklären.

Fazit: Dienstleister in der EU sind ggfs. die bessere Wahl

Die Sprengkraft des EuGH-Urteils ist tatsächlich erheblich. Der Aufwand, einen zweifelhaften Drittlandtransfer wieder in richtige Bahnen zu lenken, ist schnell sehr hoch. Zudem muss der Kooperationspartner im Ausland regelmäßig dabei mitwirken. Selbst unter dieser Voraussetzung ist nicht sicher, dass sich im Ergebnis weiterhin jede Verarbeitung unter Beteiligung eines Drittstaates rechtfertigen lassen wird.

Unternehmen sollten daher in einem ersten Schritt gut abwägen, ob es sich lohnt und Erfolg verspricht, diesen beschwerlichen Weg einzuschlagen, oder ob nicht eine Trennung vom Dienstleister zugunsten eines Anbieters innerhalb der EU in der Gesamtbetrachtung die einfachere und dauerhaftere Lösung ist.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Auswirkungen des Patientendaten-Schutz-Gesetzes auf die IT-Sicherheit in Krankenhäusern

Mit dem Patientendaten-Schutz-Gesetz (PDSG) kommt nicht nur die vieldiskutierte elektronische Patientenakte nach Deutschland. Das PDSG bringt auch deutlich gestiegene Anforderungen an die IT- und Informationssicherheit von Krankenhäusern mit sich. Letzte Änderungen an dem Gesetzentwurf brachten gewissermaßen durch die Hintertür KRITIS-Anforderungen für alle Kliniken in Deutschland. Für die Verantwortlichen bleibt wenig Zeit, den Stand Ihrer Informationssicherheit entsprechend aufzurüsten und nachzuweisen.

Ab wann greifen die Vorschriften des PDSG?

Das Patientendaten-Schutz-Gesetz (wörtlich: Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur) wurde am 19. Oktober 2020 im Bundesgesetzblatt veröffentlicht und gilt deshalb seit dem Folgetag.

Die im Folgenden diskutierten Anforderungen an die Informationssicherheit von Krankenhäusern durch das PDSG müssen bereits ab dem 1. Januar 2022 nachgewiesen werden können.

Welche IT-Sicherheits-Anforderungen kommen mit dem PDSG?

Alle Krankenhäuser in Deutschland werden sich künftig mit deutlich gestiegenen Anforderungen im Bereich der Informations- bzw. IT-Sicherheit konfrontiert sehen. Zumindest in den Bereichen, in denen Patientendaten im Anwendungsbereich des Gesetzes verarbeitet werden, gelten faktisch Vorgaben, die bisher nur für Krankenhäuser relevant waren, die als kritische Infrastruktur (KRITIS) gelten. KRITIS-Krankenhäuser sind Kliniken oder Gruppen, in deren IT-System mindestens 30.000 vollstationäre Fälle verwaltet werden.

In der breiten Öffentlichkeit ist vorwiegend der Entwurf des Patientendaten-Schutz-Gesetzes in seiner Fassung vom April 2020 bekannt. Vom Bundestag im Juli beschlossen wurde jedoch ein in entscheidenden Punkten ergänzter Entwurf mit Empfehlungen des Ausschusses für Gesundheit mit Stand von Anfang Juli. In dieser Version sind einige Neuerungen enthalten. Einzelne davon haben für Krankenhäuser erhebliche Auswirkung

So wird es unter anderem künftig einen neuen § 75c SGB V (Sozialgesetzbuch – Fünftes Buch) geben, der lautet:

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

Die Vorschrift spricht für sich selbst. Faktisch werden die Anforderungen, die bisher nur für KRITIS-Krankenhäuser galten, künftig für alle Krankenhäuser verbindlich. Der jeweils aktuelle branchenspezifische Sicherheitsstandard (B3S) für Krankenhäuser wird als Normallfall deklariert. Der für Kliniken relevante B3S wurde von der Deutschen Krankenhausgesellschaft (DKG) entwickelt. Vor dem Hintergrund des PDSG gebotene Anpassungen des B3S werden nach Auskunft der DKG aktuell erörtert.

Der B3S ist als Nachweis allerdings nicht zwingend. Alternative Lösungen sind möglich. Ein niedrigeres Niveau als das durch den B3S festgelegte dürfte aber kaum akzeptiert werden. Es ist daher aus rein praktischer Sichtweise kaum zu empfehlen, mit enormem Aufwand über die Entwicklung eines eigenen Standards nachzudenken und diesen dann gegen den Maßstab des B3S verteidigen zu müssen.

Damit stehen alle Krankenhäuser, unabhängig ihrer Größe und Bedeutung, nun vor Aufgabe, in der verbleibenden Zeit bis zum 31. Dezember 2021 den B3S bzw. dessen noch abzuwartende Abwandlung umzusetzen.

Herauszuheben ist, dass diese Anforderung allgemein gilt und nicht nur für die IT-Systeme, die im Zusammenhang mit der Telematikinfrastruktur eingesetzt werden. Hier ergreift der Gesetzgeber die Gelegenheit, eine Änderung einzuführen, die deutlich über den engeren Sinn des PDSG hinausgeht. Aufgrund der allgemein gestiegenen Bedrohung sollen alle Krankenhäuser zur Umsetzung eines dem B3S entsprechenden Sicherheitsniveaus gezwungen werden. Der einzige verbleibende Unterschied zu KRITIS-Krankenhäusern ist, dass andere Krankenhäuser die Umsetzung nicht selbstständig regelmäßig nachweisen müssen.

Fazit: Die Zeit zur Umsetzung des B3S drängt

Die zeitliche Anforderung bis Ende 2021 ist bestenfalls als sportlich zu bezeichnen. Ohne fachkundige und erfahrene externe Beratung wird die rechtzeitige Umsetzung vielen Häusern nicht gelingen.

Angesichts der kurzen Umsetzungsfrist dürften Beraterkapazitäten innerhalb sehr kurzer Zeit knapp werden. Verantwortliche in den betroffenen Krankenhäusern sollten sich daher sehr schnell Gedanken über die Umsetzung machen und rechtzeitig zu geeigneten Beratern Kontakt aufnehmen.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Krankenhaus und wir begleiten Sie bis zum erfolgreichen Nachweis Ihrer IT-Sicherheit nach B3S!

Geschrieben am:

15 Kriterien für die Auswahl eines externen Datenschutzbeauftragten

Seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) sind unzählige Anbieter als externe Datenschutzbeauftragte auf den Markt gedrängt. Die Berufsbezeichnung „Datenschutzbeauftragter“ ist aber leider bislang nicht geschützt. Jeder darf sich so nennen, völlig unabhängig von Ausbildung oder sonstiger Qualifikation. Selbst nach dem Besuch eines einzigen Kurses von wenigen Tagen treten „zertifizierte Datenschutzbeauftragte“ als Anbieter auf den Markt!

Die Verantwortung, eine tatsächlich geeignete Person als Datenschutzbeauftragten auszuwählen, trägt das bestellende Unternehmen bzw. die bestellende Organisation. Irrtümer und Fehler bei der Auswahl gehen zu Lasten des Entscheiders und können eine persönliche Haftung auslösen! Bitte bedenken Sie, dass der Datenschutzbeauftragte die notwendigen Befähigungen in seiner Person vereinen muss. Andernfalls darf er nicht bestellt werden.

Die folgenden Kriterien helfen Ihnen beim Vergleich mehrerer Anbieter

Juristische Qualifikation

Eine Kernbedingung für jede Verarbeitung personenbezogener Daten ist ihre Rechtmäßigkeit (Art. 5 Abs. 1 a) DSGVO). Die Datenverarbeitung muss in Übereinstimmung mit der gesamten (!) Rechtsordnung erfolgen, also nicht nur datenschutzkonform sein. So sind im Marketing etwa Anforderungen des Wettbewerbsrechts zu beachten und beim Abschluss von Datenschutzverträgen warten auch typisch zivilrechtliche Fragen auf Antwort, seien es Haftungsvereinbarungen, Kündigungsklauseln oder Vertragsstrafen. Wie soll ein Berater ohne irgendeine juristische Ausbildung diese Fragen korrekt beantworten?

Viele Anbieter setzen sehr offensiv auf “Pragmatismus”. Dies verschleiert, dass es hierbei oft primär um die Begrenzung des Beratungsaufwandes geht. Das führt vorhersehbar zu zweifelhaften Lösungen. Unsere Prämisse ist es, Ihnen vor allem eine rechtskonforme Lösung vorzuschlagen. Erst im rechtlich eröffneten Rahmen suchen wir dann auch nach der möglichst pragmatischen Umsetzung.

Bei der activeMind AG haben alle Berater ein juristisches Studium absolviert! Unsere Beratung beachtet den Rahmen des geltenden Rechts.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragte persönlich eine ausreichende juristische Qualifikation, um die „Rechtmäßigkeit“ einer Verarbeitung zu beurteilen? Gewährt der Ansatz des Beraters eine im Ergebnis rechtskonforme Lösung?

Technische Qualifikation

Unsere Consultants sind nachweislich selbst in der Lage, technische Sachverhalte eigenständig zu beurteilen. Neben weiteren technischen Qualifikationen im Einzelfall, sind unsere Consultants geprüfte ISO 27001 Auditoren! Ihr Ansprechpartner kann Sie damit nicht nur datenschutzrechtlich, sondern auch praktisch/technisch beraten. Dies ist zwingend, da Datenschutz ohne Informationssicherheit nicht funktioniert. Unsichere Verarbeitungen sind verboten!

Unsere Consultants können technische Fragestellungen regelmäßig selbst beurteilen. Viele sind geprüfte ISO 27001 Auditoren und besitzen weitere technische Qualifikationen!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragter persönlich ausreichende technische Qualifikation?

Sprachliche Qualifikation

Der Datenschutz ist nicht erst mit Einführung der Datenschutz-Grundverordnung international. Datenschutzbeauftragte müssen grundsätzlich in der eigenen Landessprache der Betroffenen kommunizieren können. Wir decken durch eigene Mitarbeiter eine Vielzahl an Sprachen ab. Selbst wenn der für Sie bestellte Beauftragte eine bestimmte Sprache nicht beherrscht, ist der Weg in unserem Team nicht weit.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Welche Sprachen können unterstützt werden?

Betreuung auch durch Rechtsanwälte

Das Datenschutzrecht ist nur eine von vielen rechtlichen Disziplinen, die ein Verantwortlicher beachten muss. Der Datenschutzbeauftragte ist aber auf den Bereich des Datenschutzes beschränkt. Er muss sich an die Grenzen des Datenschutzes halten und darf nicht links oder rechts davon beraten. Die gewerbliche rechtliche Beratung im Einzelfall ist nämlich gesetzlich den Rechtsanwälten vorbehalten!

Bei uns stellt dies kein Problem dar, da wir in solchen Fällen auf unsere Rechtsanwälte der activeMind.legal Rechtsanwaltsgesellschaft zurückgreifen. Sollten also Beratungsleistungen nur durch einen Rechtsanwalt erbracht werden dürfen, haben wir diese selbst im Haus.

Wir dürfen auch außerhalb der engen datenschutzrechtlichen Grenzen beraten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Kann und darf auch in anderen rechtlich verwandten Bereichen beraten werden?

Persönliche Betreuung durch einen gesamt qualifizierten Consultant

Unsere Mitarbeiter sind selbständig in der Lage, Ihr konkretes Problem umfassend zu beleuchten und einer individuellen Lösung zuzuführen. Die notwendige Qualifikation liegt bei Ihrem Datenschutzbeauftragten gesammelt vor. Ihre Fragestellung wird nicht durch einen Agenten aufgenommen und an einen der wenigen „Spezialisten“ im Unternehmen weitergegeben. Auch erhalten Sie von uns keine allgemein vorformulierte Pseudoantwort, sondern eine für Ihre Problemstellung tatsächlich passende. Wir stellen Ihnen feste Ansprechpartner, die Sie persönlich und individuell beraten.

Selbstverständlich stellen wir Ihnen auf Wunsch auch eine SaaS Compliance-Portallösung an. Dieses Angebot ist aber nur unterstützend gedacht und soll Sie nicht primär oder gar ausschließlich auf Selbstbedienung verweisen.

Sie sprechen bei uns nicht mit einem Datenschutz-Callcenter! Wir bestellen keinen Strohmann.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt mein Datenschutzbeauftragter persönlich alle notwendigen Qualifikationen oder liegen diese nur verteilt in einem Team vor? Habe ich feste Regelansprechpartner? Bestelle ich statt eines persönlichen Beauftragten in Wahrheit nur die Zugriffsmöglichkeit auf vorgefertigte Standardlösungen?

Erfahrung

Seit Einführung der Datenschutz-Grundverordnung strömen unkontrolliert neue Anbieter auf den Markt.

Wir beraten und prüfen seit dem Jahr 2000 in den Bereichen Datenschutz und Informationssicherheit, bundesweit und ohne Beschränkung auf eine bestimmte Branche oder eine Unternehmensgröße. Unser Schwerpunkt verschiebt sich dabei zunehmend auf Unternehmensgruppen und andere große Organisationen mit deutlich erhöhten Erwartungen an die Beratungsleistung. Wir betreuen aber weiterhin auch kleine Startups mit nur einer Handvoll Mitarbeiter und KMU. Krankenhäuser und Behörden beraten wir ebenso wie SaaS-Anbieter oder Hotels. Wir zählen Luxuslabel und Industrie zu unseren Kunden, genauso wie den regionalen Mittelständler oder IT-Dienstleister und Forschungseinrichtungen. Durch diese Bandbreite sammeln wir sehr viel Erfahrung und können Wissen auch transferieren. Wir können daher pragmatische und tatsächlich praktikable Lösungen regelmäßig schnell anbieten.

Wir haben jahrelange Erfahrung. Unser Unternehmen wurde nicht „pünktlich“ zur DSGVO gegründet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wie lange besteht der Anbieter schon? Erfolgte der Markteintritt gezielt zur DSGVO? Wie viel Erfahrung besteht in der größenunabhängigen und branchenübergreifenden Beratung?

Qualität

Qualität hat ihren Preis. Wir bezahlen unsere Berater angemessen. Oder andersherum: Wir bezahlen die Gehälter, die für wirklich qualifizierte Mitarbeiter notwendig sind. Unsere Kalkulation richtet sich individuell nach Ihrem Unternehmen, Ihrer Branche, Ihrer Aufstellung und Ihrer Verflechtung mit anderen Unternehmen. Wir haben keine Fixpreise, die völlig am konkreten Bedarf eines Unternehmens vorbeigehen. Durch die umfassende Expertise unserer Mitarbeiter ist sichergestellt, dass wir den notwendigen Aufwand geringhalten können. Wir finden Ihre Lösung im Zweifel schnell und damit kostengünstig.

Unsere Preise sind realistisch und erlauben tatsächlich den Einsatz von Experten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Gehen Sie vorsichtig von zwei bis drei Stunden Aufwand pro Monat aus. Würde ein „Experte“ zu dem realistisch berechneten Stundenlohn arbeiten? Vergessen Sie in der Berechnung nicht, jährlich versprochene Leistungen mit hohem Aufwand einzubeziehen.

Transparenz

Immer wieder treten Anbieter mit dem unspezifischen Versprechen auf, die „Erledigung des Datenschutzes zu übernehmen“. Dies ist zum einen rechtlich gar nicht möglich, da der Datenschutzbeauftragte bestimmte Aufgaben nicht übernehmen darf. Zum anderen ist ein solches Versprechen nicht realistisch kalkulierbar. Entweder ist der Preis mit einem deutlich zu hohen Sicherheitszuschlag versehen oder er ist so niedrig, dass sich dies auf den wirtschaftlich vertretbaren Aufwand und natürlich auch das gelieferte Ergebnis auswirken muss.

Wir bieten einen klaren Katalog der wesentlichen Datenschutzleistungen zu einem monatlichen Festpreis an. Wir kommunizieren sofort, wenn eine Anfrage nicht in diesem Rahmen erledigt werden kann und warnen vor. Ohne Ihre Freigabe entstehen keine Zusatzkosten.

Es gibt bei uns weder versteckte Kosten noch Überraschungen in der Rechnung!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist klar bestimmt, welche Leistung zu welchem Preis erbracht wird?

Verlässlichkeit

Jeder Mensch wird krank, jeder Mensch hat Urlaub, jeder Mensch hat manchmal kollidierende Verpflichtungen. Auch Ihr Datenschutzbeauftragter. Bei uns erhalten Sie mit jeder Bestellung automatisch auch einen Vertreter aus unserem Beraterteam. Da alle Mitarbeiter eigenständig in der Lage sind, in den Bereichen Datenschutz und Datensicherheit zu beraten, ist die zeitnahe Bearbeitung Ihrer Anliegen jederzeit gesichert.

Wir sorgen mit jeder übernommenen Bestellung für eine laufende Stellvertretung durch einen bestimmten und kompetenten Mitarbeiter!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist die regelmäßige Stellvertretung des DSB durch bestimmte Mitarbeiter sichergestellt, die ebenfalls ausreichend qualifiziert sind?

Betreuungsschlüssel

Eine gute und individuelle Betreuung ist nur möglich, solange der Berater sich auch tatsächlich noch auf den einzelnen Kunden konzentrieren kann.

Es ist aber leider auf dem derzeitigen Markt keine Seltenheit, dass Datenschutz-Consultants viele Dutzend Unternehmen gleichzeitig beraten müssen oder sogar bei mehr als 100 Organisationen als externer Datenschutzbeauftragter bestellt sind. In solchen Fällen noch von einer Beratung mit Blick auf den Einzelfall auszugehen, ist weltfremd.

Wir halten den Betreuungsschlüssel unserer Berater möglichst klein, in jedem Fall im unteren zweistelligen Bereich. Sie werden bei uns keinen externen Datenschutzbeauftragten finden, der mehr Unternehmen betreut, als er individuell gut leisten kann.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wie viele Unternehmen werden pro Berater unterstützt?

Audit

Viele Anbieter gehen mit neuen Kunden einen einfachen Standardfragebogen durch, um eine Statusbestimmung durchzuführen. Diese Fragebögen gehen weder auf Besonderheiten Ihres Unternehmens oder Ihrer Branche ein, noch berücksichtigen sie Ihre technischen Details, da sich diese in einem vorgefertigten Bogen nicht abbilden lassen. Zugleich bieten diese Fragebögen keine Gewähr der Vollständigkeit und übersehen ggf. wichtige Aspekte. Durch den vorgegebenen Ablauf können diese Prüfung auch Mitarbeiter durchführen, die lediglich die möglichen Antworten abhaken. Eine Hinterfragung oder Verifizierung der Antworten erfolgt nicht.

Die von uns durchgeführten Kontrollen sind echte, auf Ihr Unternehmen abgestimmte Prüfungen durch Mitarbeiter, die zu einer Analyse und Bewertung rechtlich und technisch in der Lage sind. Auch wir orientieren uns zwar an Standards (etwa der ISO 27002), wir setzten aber keine Multiple-Choice-Fragebögen ein.

Wir ermitteln den Status bei Ihnen vor Ort, im direkten Gespräch mit den Verantwortlichen bei Ihnen im Haus. Wir gehen angepasst an Ihre besondere Situation vor. Wir stellen situationsabhängig die wirklich relevanten Fragen und hinterfragen auch die uns gegebenen Antworten. Wir beziehen die vorhandene Dokumentation in die Prüfung ein. Sie erhalten einen für Sie passenden, individuellen Bericht.

Wir versprechen Ihnen, dass Sie nicht von einem Callcenter-Agenten angerufen werden, der telefonisch einen allgemeinen Standardfragebogen mit Ihnen durchgeht!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird ein tatsächlich bedarfs- und anforderungsgerechtes, individuelles Audit durch einen rechtlichen und technischen Experten durchgeführt?

Vertraulichkeit

Der Datenschutzbeauftragte muss gesetzlich die Verschwiegenheit wahren. Dazu gehört selbstverständlich, dass bereits die Kontaktaufnahme zum Datenschutzbeauftragten vertraulich erfolgen kann. Wir stellen sicher, dass ausschließlich der Datenschutzbeauftragte und ggf. sein Vertreter Anfragen erhalten. Sie werden nicht mit einer allgemeinen E-Mailadresse abgespeist, die nicht speziell für Sie eingerichtet wurde.

Bei uns wird für jede einzelne Bestellung eine gesonderte E-Mailadresse eingerichtet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird eine individuelle E-Mailadresse des Datenschutzbeauftragten für Ihr Unternehmen eingerichtet? Ist sichergestellt, dass vertrauliche Anfragen direkt und ausschließlich Ihren Datenschutzbeauftragten erreichen?

Unabhängigkeit

Die Aufgaben des Datenschutzbeauftragten sind gesetzlich bestimmt. Die des Unternehmens allerdings auch. Der Datenschutzbeauftragte kann und darf dem Unternehmen die Verantwortung für den Datenschutz nicht abnehmen. Er darf und muss unterstützen, aber nicht mehr. Übernimmt er die Verantwortung oder verspricht die vollständige Umsetzung, schuldet er einen Erfolg und bringt sich dadurch automatisch in einen Interessenskonflikt. Er darf dann nicht mehr für Sie als Datenschutzbeauftragter tätig sein!

Soweit vereinbart, unterstützen wir Sie nach Kräften bei der Erfüllung von Anforderungen für eine geeignete Zertifizierung. Wir erfinden aber keine aussagelosen Siegel, bei denen für den Markt nicht erkennbar ist, was die Anforderungen zur Erteilung waren. Und wir bestätigen nicht den Erfolg unserer eigenen Bemühungen. Auch dies steht der gesetzlich zwingend geforderten Unabhängigkeit und Zuverlässigkeit des Datenschutzbeauftragten entgegen und stellt seine Bestellung in Frage.

Wir versprechen nur, was wir versprechen dürfen! Das halten wir dann aber auch.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Verspricht der Datenschutzbeauftragte einen Erfolg, der unzulässig zugleich seiner Kontrolle unterliegt?

Haftung

Falsche Beratung kann sehr teuer werden. Die Haftung bei Datenpannen und Datenschutzverstößen trifft in allererster Linie das Unternehmen selbst. Unter bestimmten Voraussetzungen kann ein Rückgriff auf den Datenschutzbeauftragten möglich sein.

Wir sind ausreichend versichert! Die Versicherung deckt materielle und immaterielle Schäden ab.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besteht beim Anbieter eine angemessene Versicherung, auch für immaterielle Schäden?

Compliance

Wir beraten nicht nur nach anerkannten Regeln, wir leben diese auch selbst.

Unser eigenes Datenschutzmanagementsystem ist nach anerkannten best practises aufgebaut. Im Bereich der Informationssicherheit ist dies durch die Zertifizierung nach ISO 27001 belegbar. Auch ein TISAX Ergebnis liegt für uns vor!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Erfolgt die Beratung nach allgemein anerkannten Regeln, die der Berater auch nachweislich selbst befolgt?

Haben Sie den passenden Anbieter gefunden, empfehlen wir Ihnen dieses Vorgehen für die Bestellung des externen Datenschutzbeauftragten.

Weitere Informationen

Viele weitere Details zu Anforderungen an Datenschutzbeauftragte finden Sie unter:

Profitieren Sie von unserer langjährigen Erfahrung und bestellen Sie einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen!

Geschrieben am:

Konzerninterner Datentransfer zwischen Verantwortlichen auf Basis einer Betriebsvereinbarung

Werden Mitarbeiterdaten in einer Unternehmensgruppe etwa durch die Konzernmutter in eigener Verantwortung verarbeitet, bedarf es für die Datenübermittlung einer geeigneten Rechtsgrundlage. Eine Betriebsvereinbarung bietet sich hierfür an. Bei der Erstellung einer solchen sind jedoch wichtige Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten.

Betriebsvereinbarung als alternative Rechtsgrundlage

Sehr oft bauen Unternehmensgruppen auf gemeinsame Prozesse innerhalb der Gruppe auf. Vielerorts werden dabei Leistungen im Auftrag erbracht, die unter Beachtung der Vorgaben des Art. 28 DSGVO ausgestaltet werden müssen.

Gerade in Konzernstrukturen oder anderen Organisationen mit einer übergeordneten oder zentralen Stelle werden Aufgaben aber häufig auch in eigener Verantwortung etwa einer Muttergesellschaft wahrgenommen. Auch hier werden Daten zwischen den beteiligten Stellen übermittelt. Sobald aber die Verarbeitung durch das jeweils andere Unternehmen auch oder nur in eigener Verantwortung erfolgt, stellen sich zusätzliche oder andere Fragen, als die nach einer ordnungsgemäßen Verarbeitung im Auftrag.

Sollen personenbezogene Daten an eine andere Stelle übermittelt werden, die dann selbständig über Zweck und Mittel entscheiden möchte, muss bereits für die Übermittlung der Daten eine Rechtsgrundlage bestehen. In Frage kommen grundsätzlich die berechtigten Interessen im Sinne des Art. 6 Abs. 1 f) DSGVO, die auch solche einer anderen Stelle sein können. Ebenfalls denkbar wäre eine Einwilligung der betroffenen Personen.

Zum Datentransfer im Konzern finden Sie bei uns auch eine grundsätzliche Anleitung sowie einen Überblick zu möglichen Rechtsgrundlagen für die Datenübermittlung.

Einer der Hauptfälle, in dem personenbezogene Daten zentral verarbeitet werden sollen, sind Personaldaten. Hier scheitern beide vorgenannten Rechtsgrundlagen oft. Die Berücksichtigung der oft sehr gewichtigen Interessen von besonders schutzbedürftigen Beschäftigten wird oftmals die Interessensabwägung ungünstig beeinflussen. Zudem scheidet eine Abwägung von vornherein aus, sobald besondere personenbezogene Daten betroffen sind. Ansonsten haben die Beschäftigten das Recht zum Widerspruch, welches weitere Hürden aufbaut. Eine zweifelsfreie Einwilligung von Beschäftigten einzuholen ist schwierig und auch diese ist grundsätzlich widerruflich.

Ein möglicher Ausweg könnte deswegen eine Betriebsvereinbarung als Rechtsgrundlage für die Datenübermittlung sein.

Zuständigkeit für eine Betriebsvereinbarung

Soll eine Betriebsvereinbarung konzernweit Transfer und Verarbeitung von Daten legitimieren, ist sicherzustellen, dass dafür überhaupt die notwendigen Befugnisse der Vertragspartner vorliegen. Denn die Zuständigkeit des eigenen Betriebsrats endet an der Unternehmensgrenze. Das heißt, der Betriebsrat kann Verarbeitungen im eigenen Unternehmen regeln; es ist ihm aber nicht möglich, über die Rechte der eigenen Mitarbeiter hinsichtlich der Datenverarbeitung durch andere konzernangehörige Unternehmen zu bestimmen.

Infrage kommt deswegen nur eine Konzernbetriebsvereinbarung. Für den Abschluss einer solchen Regelung muss jedoch – sofern ein solcher existiert – der Konzernbetriebsrat herangezogen werden. Denn nur ein solches Gremium kann eine vertragliche Bindung aller konzernangehörigen Unternehmen herstellen.

Achtung: Eine Betriebsvereinbarung kann stets nur Wirkung für Beschäftigte haben. Abgesehen von Konzernbetriebsvereinbarungen sind auch nur die Kollegen in einem konkreten Betrieb erfasst, für den die Betriebsvereinbarung gilt. Niemals können jedoch Rechtsverhältnisse von Bewerbern oder Dritten (externen Personen) mit einer Betriebsvereinbarung geregelt werden.

Anforderungen an die Betriebsvereinbarung

Dass eine Betriebsvereinbarung Grundlage für eine Verarbeitung personenbezogener und besonderer personenbezogener Daten sein kann, sagt § 26 Abs. 4 BDSG klar aus. Es wird aber auch herausgestellt, dass Art. 88 Abs. 2 DSGVO Anwendung findet.

Neben dem eigentlichen Regelungsgehalt sollten daher folgende Mindestanforderungen beachtet werden:

1. Schaffung eines konzernweiten Datenschutzkonzepts

Ein konzernweites Datenschutzkonzept soll zum einen die konkreten Zwecke festlegen, zu denen personenbezogene Daten im Konzern verarbeitet werden dürfen. Hierdurch wird der Arbeitnehmer auf organisatorischer Ebene davor geschützt, dass seine personenbezogenen Daten in nach deutschen Gesetzen rechtswidriger Art und Weise ausgewertet werden. Zum anderen sollen auch technisch-organisatorische Maßnahmen festgelegt werden, die den Schutz der Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten sollen.

2. Transparenz bzgl. des Verarbeitungsverlaufs der Daten

Da jede Verarbeitung von personenbezogenen Daten eines Mitarbeiters im Konzern grundsätzlich einen (wenn auch gerechtfertigten) Verstoß gegen das informationelle Selbstbestimmungsrecht darstellt, muss für den Mitarbeiter zumindest erkenntlich sein, von wem, auf welche Art und zu welchem Zweck seine Daten verarbeitet werden. Eine solche Schaffung geeigneter Transparenzmaßnahmen ist Grundvoraussetzung dafür, dass der Mitarbeiter seine Betroffenenrechte überhaupt wahrnehmen kann.

3. Arbeitgeber bleibt Verantwortlicher für personenbezogene Daten

Der eigene Arbeitgeber muss umfassender Ansprechpartner des Arbeitnehmers bleiben, dessen Daten im Konzern verarbeitet werden. Diese Anforderung dient ebenso wie das Transparenzgebot der Wahrnehmung der Rechte der Mitarbeiter. Denn gäbe es den eigenen Arbeitgeber nicht als zentralen Ansprechpartner, so müssten die Mitarbeiter sich unmittelbar an das datenverarbeitende Unternehmen wenden, was oftmals mit Sprachbarrieren oder auch Problemen bei der Auffindung eines zuständigen Ansprechpartners verbunden wäre. Um dies zu verhindern, werden diese Probleme auf den eigenen Arbeitgeber abgewälzt.

Fazit: Betriebsvereinbarungen sind geeignet, müssen aber taugen

Betriebsvereinbarungen sind ein gutes Mittel, insbesondere in nicht ganz eindeutigen Fällen der Verarbeitung personenbezogener (Mitarbeiter-)Daten, eine zweifelsfreie Rechtsgrundlage zu bieten. Verantwortliche sollten aber nicht übersehen, dass es um mehr geht, als nur eine Regelung zu erstellen, die sich inhaltlich allein auf den verfolgten Zweck richtet und andere Gesichtspunkte außen vorlässt. In der Praxis begegnen leider immer wieder Vereinbarungen, die nur teilweise geeignet sind.

Verantwortliche sollten auch in vermeintlich allein kollektivarbeitsrechtlichen Fragen stets den Rat Ihres Datenschutzbeauftragten einholen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Geschrieben am:

Müssen Passwörter regelmäßig geändert werden, um sicher zu sein?

Immer wieder veröffentlichen Hacker Listen mit Unmengen von Onlinezugangsdaten verschiedenster Natur. Ein Hauptproblem sind dabei schwache Passwörter. Unternehmen sollten also ein verstärktes Augenmerk auf sichere Passwörter legen. Eine der häufigsten Empfehlungen ist das regelmäßige (erzwungene) Ändern von Passwörtern. Doch es gibt auch Alternativen zu dieser lästigen Pflicht.

Update Februar 2020

Mittlerweile ist auch das BSI vom starr erzwungenen Kennwortwechsel abgerückt. ORP.4.A23 des IT-Grundschutz-Kompendiums sieht vor, Passwortwechsel nur noch mit validem Grund zu erzwingen und möglichst keine rein zeitgesteuerten Wechsel vorzusehen. Insgesamt stellt das BSI aber auch auf die in diesem Artikel beschriebenen Anforderungen ab. Es ist also nicht möglich, diese Aussage isoliert als Richtlinie für die eigene Umsetzung heranzuziehen. Vielmehr müssen sämtliche Vorgaben an sichere Passwörter beachtet werden.

Es gilt auch weiterhin, die eigenen Prozesse den bestehenden Risiken angemessen auszugestalten. Will man den Gefahren begegnen, die durch Passwortnotizen, die Eingabe des Passwortes in unsicheren Umgebungen, die gut gemeinte kurzfristige Weitergabe des Passworts oder die trotz Verbots eben doch erfolgende Verwendung des Passwortes auch im privaten Bereich entstehen, bleibt oft nur, dass Passwort zu ändern oder aber strikt auf eine mehr-Faktor-Authentifizierung umzustellen.

Aktuelle Empfehlungen einer Aufsichtsbehörde

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat kürzlich „Hinweise zum sicheren Umgang mit Passwörtern“ herausgegeben. Eine bemerkenswerte Aussage darin ist, dass Passwörter nicht mehr regelmäßig geändert werden sollen, sondern nur noch bei Kompromittierung. Was ist davon zu halten?

Immer wieder hört man Ansätze, lieber dauerhaft wirklich sichere Passworte zu verwenden, anstatt Benutzer mit dem erzwungenen Wechsel von Passworten zu gängeln. Dieser Ansatz hat sicher einen richtigen Kern. Aus praktischen Gründen ist er aber regelmäßig kaum umzusetzen, ohne die Sicherheit im Unternehmen zu gefährden!

Das Problem in der Praxis ist, dass ein Absehen von Passwortwechseln voraussetzt, dass alle anderen Vorgaben an die Sicherheit von Passwörtern erfüllt sind. Nur unter dieser Voraussetzung wäre der Ansatz diskutabel.

Empfehlungen der Aufsichtsbehörde für Passwortsicherheit (die ein regelmäßiges Wechseln von Passwörtern erübrigen würden)

Starke Passwörter

Hierbei handelt es sich zweifellos um die primäre Voraussetzung, um über dauerhaft eingesetzte Passwörter nachzudenken. Neben der Komplexität ist hierbei vor allem auch die Länge entscheidend. Die Hinweise der baden-württembergischen Aufsichtsbehörde sehen zwölf und mehr Stellen vor. Bereits dies wird in der Praxis auf wenig bis gar keine Gegenliebe stoßen und im Zweifel nicht umgesetzt.

Zudem werden  Tipps gegeben, mit denen Mitarbeiter sich ein solch sicheres Passwort wählen und auch merken können sollen. Das Problem ist, findige Mitarbeiter werden immer Wege entdecken, zwar alle technischen Vorgaben zu erfüllen, im Ergebnis aber ein nicht sicheres Passwort oder einen nicht sicheren Satz zu verwenden. Das Unternehmen kennt aber das gewählte geheime Passwort nicht und kann dementsprechend nicht reagieren. Sollte es sich um ein tatsächlich sicheres Passwort handeln, wird dieses im Zweifel dann doch „sicherheitshalber“ irgendwo notiert.

Passwörter nicht doppelt verwenden

Die Vorgabe ist sinnvoll, aber vom Unternehmen nicht wirksam zu kontrollieren. Die einzige Methode, um zu verhindern, dass das im Unternehmen eingesetzte Passwort nicht das gleiche ist, wie das möglicherweise jahrelang auch im privaten Bereich großflächig eingesetzte (das per Post-it am privaten Monitor klebt), ist die erzwungene Änderung.

Einsatz eines Passwortsafes

Auch dieser Hinweis ist grundsätzlich sinnvoll. Aber er stellt Unternehmen vor weitere Schwierigkeiten. Welche Lösung soll eingesetzt werden? Ist diese sicher? Wer ist der Anbieter? Wo sitzt der Anbieter? Wer administriert die Lösung? Wer bezahlt sie? Wer sorgt für die Datensicherung?

Keine Wörter aus Wörterbüchern verwenden

Der Tipp ist richtig – er kann aber durch das Unternehmen kaum sichergestellt werden. Das Unternehmen kann zwar technisch Vorgaben machen, diese lassen sich aber sehr leicht durch minimale Veränderungen des Wortes oder Zusätze dazu erfüllen bzw. umgehen.

Passwörter nicht weitergeben

Auch das ist grundsätzlich richtig, lässt sich aber weder unterbinden noch wirksam kontrollieren.

Änderung bei Kompromittierung

Ein völlig richtiger Hinweis. Spätestens jetzt ist das Passwort zu ändern. Auch hier aber besteht das Problem wie beim zweiten Punkt: Das Unternehmen bekommt von einer Kompromittierung im privaten Umfeld des Mitarbeiters möglicherweise gar nichts mit. Im Zweifel merkt es der Mitarbeiter selbst nicht.

Sichere Passwörter auch auf Smartphones

Richtig – aber mit allen Problemen verbunden, die entstehen, wenn mobile Geräte nicht wirksam der technischen Verwaltung des Unternehmens unterworfen sind.

Standard-Passworte ändern

Der Hinweis ist uneingeschränkt richtig. Die Umsetzung sollte aber ohnehin dem zuständigen IT-Personal und nicht dem „normalen“ Mitarbeiter obliegen.

Lügen bei Sicherheitsfragen

Korrekt. Hat aber mit der eigentlichen Thematik nichts zu tun.

Zwei-Faktor-Authentifizierung aktivieren

Diese wäre – bei korrekter und lückenloser Implementierung (!) — tatsächlich ein wirklich belastbares Argument, Passworte nicht mehr regelmäßig zu ändern.

Fazit: Wechsel von Passwörtern ist in der Praxis kaum zu ersetzen

Der Gedanke, Passwortwechsel nicht mehr zu erzwingen, ist nachvollziehbar und wäre wohl diskutabel, wenn tatsächlich alle genannten Anforderungen erfüllt sind. Viele der Anforderungen wird das Unternehmen aber faktisch nicht kontrollieren können – oder erst gar nicht umsetzen. Es steht zu befürchten, dass IT-Verantwortliche und Benutzer sich nun selektiv merken, dass hier eine Aufsichtsbehörde aussagt, Passwörter müssten nicht mehr geändert werden und die übrigen Voraussetzungen „übersehen“.

In dieser Hinsicht gilt zudem: Vertrauen in den Umgang mit sicheren Passwörtern durch Mitarbeiter ist gut; technische Kontrolle ist besser. Solange Verantwortliche nicht mit guter Begründung sicher sein können, dass sich alle Mitarbeiter tatsächlich an alle Vorgaben halten, sollten doch-nicht-so-sichere Passworte regelmäßig getauscht werden.

Zur Erinnerung: Es besteht Rechenschaftspflicht! Wer behauptet, dass alle Voraussetzungen für den Verzicht auf Passwortwechsel vorliegen, muss dies auch messen und belegen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Millionenschweres Bußgeld gegen Telekommunikationsanbieter

Die Tendenz, dass mittlerweile auch deutsche Aufsichtsbehörden empfindliche Bußgelder verhängen, scheint sich zu verstetigen. Diesmal traf es zwei Telekommunikationsunternehmen, gegen die der – in diesen Fällen zuständige – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Bußgelder verhängte. Die bekannte 1&1 Telecom GmbH soll 9,5 Millionen Euro zahlen. Ein Kleinstanbieter erhielt einen Bescheid über immerhin noch 10.000 Euro.

Mangelhafte Datensicherheit als DSGVO-Verstoß

Beobachtet man die Gründe, aus denen Bußgelder von Datenschutzaufsichtsbehörden verhängt werden, zeichnet sich EU-weit ein recht deutliches Bild ab. Verstöße gegen die Pflicht, bei der Verarbeitung von Daten auch auf die Datensicherheit zu achten und angemessene technische und organisatorische Maßnahmen umzusetzen, werden offensichtlich als besonders kritisch und ahndungswürdig betrachtet.

Bei der 1&1 scheint nun ebenfalls ein Mangel an Datensicherheit zur Verhängung des Bußgeldes geführt zu haben. Konkret fehlte es offenbar an einer brauchbaren Ausgestaltung der Zugriffsberechtigungen; ein Aspekt der insbesondere vor dem Hintergrund der Grundgedanken Privacy by Design bzw. Privacy by Default eine Rolle spielt. Kundenbetreuer des Unternehmens bekamen offenbar im Rahmen selbst einfacher Anfragen standardmäßig weitreichende Angaben zum jeweiligen Kunden angezeigt, konnten diese abrufen, und gaben diese – zumindest in Einzelfällen – offenbar auch sehr leicht an unberechtigte Personen heraus.

Dieses Problem stellt sich in vergleichbarer Form für viele Unternehmen. Die vielfach eingesetzten Lösungen waren bislang nicht darauf vorbereitet, verschiedenen Nutzergruppen im Unternehmen jeweils nur die Daten anzuzeigen, die diese für ihre Arbeit allgemein oder in einem konkreten Fall benötigen. Ein abgestufter Zugriff auf Daten wurde von den Lösungen nicht unterstützt. Jeder Mitarbeiter sieht alles. Das sollte nicht sein!

Eine moderne und datenschutzkonforme Umsetzung muss es unterstützen, jedem Mitarbeiter jeweils nur die Daten zur Verfügung zu stellen, die er im Rahmen seiner Aufgaben vorhersehbar braucht und andere Informationen nur bei konkretem Bedarf oder gegebenenfalls auch gar nicht anzuzeigen. Der technische Support braucht beispielsweise keinen Zugriff auf die Kontoverbindung des Kunden; die Personalabteilung benötigt andere Daten als der Vertrieb; die Entwicklung braucht gegebenenfalls gar keinen Zugriff auf personenbezogene Daten. Durch solche Schranken lässt sich auch wirksam verhindern, dass Daten leichtfertig weitergegeben werden. Was ein Mitarbeiter schon gar nicht sieht, kann er auch nicht offenbaren.

Zusätzlich wurden bei der Herausgabe von Informationen offenbar keine großen Hürden aufgestellt. Die Identität von Anrufern wurde nicht zuverlässig überprüft, sondern nur mittels sehr leicht in Erfahrung zu bringender Angaben verifiziert. Es war damit offensichtlich zu leicht, als Unberechtigter an fremde Informationen heranzukommen.

Auch ohne, dass es bei der 1&1 zu einem für Betroffene spürbaren (finanziellen) Schaden gekommen wäre, beurteilte der Bundesbeauftragte diesen Verstoß streng, da er den gesamten Kundenbestand betraf. Aufgrund der guten Kooperation durch das betroffene Unternehmen wurde das Bußgeld explizit nur im unteren Bereich festgelegt.

Auch Behördenanweisungen zu ignorieren wird geahndet

Der zweite Fall betraf ein kleines Telekommunikationsunternehmen aus dem Breisgau und ist weit weniger spektakulär. Das der Leistungsfähigkeit und Größe des Unternehmens angepasste, überschaubare Bußgeld wurde hier verhängt, da das Unternehmen – trotz mehrfacher Aufforderung durch die Aufsichtsbehörde – der Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nachgekommen war. Dass es in solchen Fällen mit einem Bußgeld endet, dürfte vorhersehbar und ebenso gut vermeidbar gewesen sein.

Vermeiden Sie Bußgelder und Auflagen der Aufsichtsbehörden – bestellen Sie lieber einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen!

Geschrieben am:

Das Standard-Datenschutzmodell (Version 2.0)

Das Standard-Datenschutzmodell (SDM) soll Unternehmen bei der konkreten Umsetzung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) helfen. Als Orientierungshilfe bietet es standardisierte Empfehlungen der Aufsichtsbehörden sowie eine vordefinierte Umsetzungssystematik. Im November 2019 haben die unabhängigen Datenschutzbehörden des Bundes und der Länder eine Überarbeitung des SDM beschlossen. Was sich bei der Version 2.0 der Methode zur Datenschutzberatung und -prüfung geändert hat, erfahren Sie in dieser Zusammenfassung.

Update, April 2020: Mittlerweile liegt die Version 2.0b vor. Es handelt sich um geringfügige redaktionelle Überarbeitungen. So wurde das Kapitel E6 hinsichtlich der Verbindlichkeit der Anwendung einzelner Referenzmaßnahmen aus dem SDM-Katalog ergänzt. Die Version 2.0b ist nun auch auf englisch verfügbar.

Neuerungen beim Standard-Datenschutzmodell

Wesentliche Unterschiede zur Vorgehensweise bringt die zweite Auflage des SDM nicht mit sich. Nach wie vor wird der Aufbau eines Datenschutzmanagementsystems unter Beachtung eines Plan-Do-Check-Act-Zyklus (PDCA) beschrieben. Diese Vorgehensweise ist grundsätzlich zu empfehlen.

Die Beschreibung des SDM geht jetzt allerdings stärker auf die Anforderungen der DSGVO ein und wurde auch begrifflich dementsprechend angepasst.

Wirklich neu ist Teil B hinzugekommen, der nunmehr auf viele der datenschutzrechtlichen Anforderungen eingeht und diese kurz erläutert. Insgesamt werden 23 übergreifend wichtige Gesichtspunkte aufgenommen und in ihrer Bedeutung und Zielrichtung dargestellt. So wird unter anderem auf Anforderungen wie Zweckbindung und Datenminimierung eingegangen. Die Rechenschaftspflicht wird ebenso angesprochen, wie vielen Anwendern bisher eher unbekannte Punkte wie etwa die Belastbarkeit.

Ausführlicher wird auch auf das Management von Einwilligungen eingegangen und die Umsetzung von aufsichtsbehördlichen Anordnungen. Diesen zwei Aspekten sind eigene kleine Kapitel in Teil B gewidmet.

Die 7 wichtigsten Gewährleistungsziele im Standard-Datenschutzmodell

Wie bereits in den früheren Versionen, stellt die Methodik des SDM weiterhin auf die in der DSGVO enthaltenen Gewährleistungsziele ab, um datenschutzrechtliche Anforderungen strukturiert umzusetzen:

Datenminimierung

Das nach dem Standard-Datenschutzmodell grundlegendste Gewährleistungsziel ist die Datenminimierung. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten hat sich grundsätzlich auf das unvermeidliche / erforderliche Maß zu beschränkten. Dies bezieht sich auf die vollständige Verarbeitungskette; von der Erhebung der Daten bis hin zu deren Löschung sollten alle Prozesse so ausgerichtet sein, dass ausschließlich die tatsächlich benötigten Daten verarbeitet bzw. verfügbar gehalten werden. Letztlich stellt sich hier stets die gleiche Frage: „Brauche ich die Daten für die Verarbeitung wirklich unbedingt?“

Um eine optimale Datensparsamkeit zu erreichen, sollte z. B. über folgende generische Maßnahmen nachgedacht werden:

  • Reduzierung von erfassten Attributen
  • Reduzierung der Verarbeitungsoptionen
  • Reduzierung von Möglichkeiten der Kenntnisnahme
  • Verarbeitungsprozesse, die eine Kenntnisnahme verarbeiteter Daten entbehrlich machen
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren,
  • Kontrolle der Änderung von Verarbeitungstätigkeiten

Verfügbarkeit

Der Grundsatz der Verfügbarkeit fordert, dass vorhandene Daten einerseits vor mutwilliger Zerstörung oder auch fahrlässigem Verlust geschützt werden müssen, andererseits aber auch im Falle des Bedarfs jederzeit abrufbar sein sollen. Die Verfügbarkeit muss dabei nicht nur die jederzeitige Nutzung der Daten für den eigentlichen Zweck sicherstellen, sondern auch mögliche Auskunftsverlangen an Betroffene, über die Daten gespeichert sind.

In der Praxis wird die Verfügbarkeit meist über entsprechende Datensicherungen, Schutzvorrichtungen und Redundanzen von Hard- und Software sowie IT-Infrastrukturen gewährleistet. Bei Auslagerungen sollte stets auf entsprechende Service-Level-Agreements (SLAs) geachtet werden, z. B. Auftragsverarbeitungs-Verträge. Aber auch alltägliche organisatorische Maßnahmen, wie Vertretungsregelungen für abwesende Mitarbeiter, stellen die Verfügbarkeit der Daten sicher.

Beispiele für geeignete Maßnahmen:

  • Anfertigung von Sicherheitskopien,
  • Schutz vor äußeren Einflüssen (Schadsoftware, Sabotage, höhere Gewalt),
  • Dokumentation der Syntax der Daten,
  • Redundanzen,
  • Reparaturstrategien und Ausweichprozesse,
  • Vertretungsregelungen

Integrität

Als Integrität wird der Schutz vor ungewollter bzw. unautorisierter Veränderung von Daten verstanden. Sie besagt, dass einmal erstellte Daten auch zu einem späteren Zeitpunkt noch denselben – unveränderten – Inhalt besitzen müssen, sofern sie nicht in legitimer Weise verändert worden sind. Die anfängliche inhaltliche Richtigkeit der Daten ist hiervon allerdings nicht umfasst.

Unternehmen müssen folglich (generische) Maßnahmen ergreifen, die eine ungewünschte nachträgliche Veränderung von Daten verhindern. Dies kann beispielsweise gewährleitet werden durch:

  • Begrenzung von Schreib- und Änderungsrechten,
  • Einsatz von Prüfsummen, elektronischen Siegeln und Signaturen,
  • dokumentierte Zuweisung von Berechtigungen und Rollen,
  • Aufrechterhaltung der Aktualität von Daten,
  • Festlegung des Soll-Verhaltens von Prozessen und regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität, von Risiken sowie Sicherheitslücken und Nebenwirkungen von Prozessen,
  • Festlegung des Soll-Verhaltens von Abläufen bzw. Prozessen und regelmäßiges Durchführen von Tests zur Feststellbarkeit bzw. Feststellung der Ist-Zustände von Prozessen.

Vertraulichkeit

Als Vertraulichkeit wird der Schutz der Daten vor unbefugtem Zugriff oder unbefugter Kenntnisnahme verstanden.

Generische Maßnahmen um die Vertraulichkeit zu gewährleisten wären beispielsweise:

  • Festlegung eines Rechte- und Rollen-Konzeptes,
  • sichere Authentisierungsverfahren,
  • Personalkonzept,
  • Festlegung und Kontrolle zugelassener Ressourcen,
  • für die Verarbeitungstätigkeit geeignete Umgebungen,
  • Festlegung und Kontrolle organisatorischer Abläufe, interner Regelungen und vertraglicher Verpflichtungen ,
  • Kryptokonzept,
  • Schutz vor äußeren Einflüssen (Spionage, Hacking).

Nichtverkettbarkeit

Das Gewährleistungsziel der Nichtverkettbarkeit hat seinen Ausgangspunkt im Zweckbindungsgrundsatz und soll sicherstellen, dass für alle Daten der legitime Zweck für die Bearbeitung feststeht und erhalten bleibt. Dementsprechend darf im Laufe der Verarbeitungsprozesse stets nur der ursprünglich festgelegte Zweck verfolgt werden. Die in der Praxis oft vorgefundene Situation, dass Daten, die einmal im Unternehmen angekommen sind, dort frei umherirren und so auch für verschiedene Zwecke verarbeitet werden, ist daher gesetzeswidrig.

Um die Nichtverkettbarkeit zu gewährleisten, kommen etwa folgende Maßnahmen in Betracht:

  • Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten,
  • Schließung von Schnittstellen,
  • Compliance bei der Softwareentwicklung,
  • Trennung nach Organisations-/Abteilungsgrenzen,
  • Trennung mittels Rollenkonzepten,
  • Identitätsmanagement,
  • Pseudonyme, Anonymisierung,
  • geregelte Zweckänderungsverfahren.

Transparenz

Die Verarbeitung personenbezogener Daten hat grundsätzlich transparent zu erfolgen. Es muss also nachvollziehbar sein, wo und zu welchem Zweck personenbezogene Daten verarbeitet und genutzt werden. Dieser Grundsatz findet seinen Ausfluss unter anderem in der Verpflichtung zur Führung eines internen und externen Verfahrensverzeichnisses. Zudem kann nur mittels einer transparenten Datenverarbeitung dem Recht des Betroffenen auf Auskunft sowie den Rechten der Aufsichtsbehörden auf Auskunft und Einsicht entsprochen werden.

Typische Maßnahmen wären in diesem Zusammenhang vor allem die Dokumentationen über Verfahren, Prozesse, Anwendungen, Verträge, Systemtests, Freigaben, Vorabkontrollen, Verträge (sowohl interne z. B. mit Mitarbeitern als auch externe mit Dienstleistern). Außerdem sollten Zugriffe auf und Änderungen in Anwendungen dokumentiert sowie Dokumente versioniert werden.

Beispiele:

  • Dokumentation der Geschäftsprozesse, Datenbestände, Datenflüsse, IT-Systeme, Betriebsabläufe, Beschreibungen von Verarbeitungstätigkeiten,
  • Tests der Freigabe und ggf. Datenschutz-Folgenabschätzung von neuen oder geänderten Verarbeitungstätigkeiten,
  • Dokumentation der Verträge mit den internen Mitarbeitenden, Dienstleistern und Dritten,
  • Dokumentation von Einwilligungen und Widersprüchen,
  • Protokollierung von Zugriffen und Änderungen,
  • Nachweis der Quellen von Daten (Authentizität),
  • Versionierung,
  • Dokumentation der Verarbeitungsprozesse,
  • Berücksichtigung der Auskunftsrechte von Betroffenen im Protokollierungs- und Auswertungskonzept.

Intervenierbarkeit

Unter das Gewährleistungsziel der Intervenierbarkeit werden im Wesentlichen die Betroffenenrechte auf Auskunft, Berichtigung und Sperrung bzw. Löschung der eigenen Daten gefasst. Sofern also ein Betroffener zurecht die Löschung seiner Daten verlangt, so muss dies konsequenterweise auch technisch umsetzbar sein.

Dies ist es beispielsweise nicht, wenn gar nicht klar ist, auf welchen Datensicherungsbändern dessen Daten überhaupt gespeichert sind bzw. in welchen Systemen dessen Daten abgelegt wurden. In diesem Fall wäre erst eine umfangreiche Suche erforderlich. Derartige technische Erschwernisse können die Pflicht der Unternehmen, dem Verlangen des Betroffenen nachzukommen, jedoch nicht entgegengehalten werden. Vielmehr muss Unternehmen bereits bei Speicherung der Daten klar sein, dass auch einzelne Datensätze gegebenenfalls wieder gelöscht werden müssen.

Infrage kommende Maßnahmen sind hier u. a. standardisierte Dialog- und Abfragestellen über vorhandene Datensätze von Betroffenen sowie ein konkret benannter Ansprechpartner, Deaktivierungsmöglichkeiten von einzelnen Systemkomponenten, ohne das gesamte System außer Betrieb zu setzen, Möglichkeiten der Einsichtnahme in das System durch den Datenschutzbeauftragten oder aber auch Aufsichtsbehörden.

Beispiele:

  • differenzierte Einwilligungs-, Rücknahme- sowie Widerspruchsmöglichkeiten,
  • Schaffung notwendiger Datenfelder z. B. für Sperrkennzeichen,
  • dokumentierte Bearbeitung von Störungen, Problembearbeitungen und Änderungen am Verarbeitungstätigkeiten sowie an den Schutzmaßnahmen der IT-Sicherheit und des Datenschutzes,
  • Deaktivierungsmöglichkeit von Funktionalitäten,
  • Abfrage- und Dialogschnittstellen für Betroffene zur Geltendmachung und/oder Durchsetzung von Ansprüchen,
  • Nachverfolgbarkeit der Aktivitäten,
  • Einrichtung eines Single Point of Contact (SPoC) für Betroffene,
  • operative Möglichkeit zur Zusammenstellung, konsistenten Berichtigung, Sperrung und Löschung aller zu einer Person gespeicherten Daten.

Generische Maßnahmen im Standard-Datenschutzmodell

Für die Datenschutzpraxis wirklich interessant sind die in der Methodik bereits angelegten generischen Maßnahmen zu den Gewährleistungszielen, die im Teil D benannt werden. Denn was hier genannt wird, dürfte von den Aufsichtsbehörden als Standard angesehen werden. Eine kritische Auseinandersetzung mit den hier aufgezählten Maßnahmen ist also in jedem Fall notwendig, selbst wenn man sich im Ergebnis gegen die Umsetzung entscheidet.

Mit Spannung sind in diesem Zusammenhang die als Anhang zum SDM angekündigten ausführlicheren Kataloge mit solchen generischen Maßnahmen zu erwarten. Bislang gibt es diese jedoch nur von einzelnen Aufsichtsbehörden (etwa Mecklenburg-Vorpommern) und nur zu einzelnen Gewährleistungszielen. Eine vollständige und unter den Aufsichtsbehörden abgestimmte Beschreibung ist derzeit noch nicht in Sicht. Wenn es hier einen solchen Katalog gibt, könnte damit tatsächlich ein gewisser Mindeststandard festgelegt werden.

Wie bei den vorherigen Versionen auch, handelt es sich bei Modell und Katalogen allein um eine Empfehlung von Aufsichtsbehörden, die keine echte rechtliche Verbindlichkeit beanspruchen kann und dies auch nicht will. Zumindest aber dem  Vorwurf, die Sorgfalt grob außer Acht gelassen zu haben, wird man bei einer Orientierung an diesen Vorschlägen nicht mehr ausgesetzt sein.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Abberufung und Wechsel des externen Datenschutzbeauftragten

Es gibt vielfältige Gründe, die Zusammenarbeit mit einem externen Datenschutzbeauftragten zu beenden. Da die Position einerseits gesetzlich vorgeschrieben sein kann und andererseits der bestellte Beauftragte einen gewissen Schutz genießt, müssen Sie bei der Abberufung und der Neubestellung eines externen Datenschutzbeauftragten einige wichtige Schritte beachten (Achtung: Für die Abbestellung eines internen bzw. betrieblichen Datenschutzbeauftragten gelten einige Besonderheiten, auf die hier nicht eingegangen wird).

Gründe für die Abberufung eines externen Datenschutzbeauftragten

Gründe, den externen Datenschutzbeauftragten abzuberufen, gibt es ggf. etliche. Hauptsächlich dürften es die folgenden sein:

1. Die Beratung ist unzureichend

Die Bezeichnung Datenschutzbeauftragter ist nicht geschützt. Jeder darf diese Dienstleistung anbieten. Sehr oft stellt sich für Unternehmen erst einige Zeit nach der Bestellung des externen Datenschutzbeauftragten heraus, dass der Anbieter tatsächlich nicht ausreichend qualifiziert ist und ein grob unterschätztes Haftungsrisiko darstellt. Probleme werden nicht erkannt, rechtlich und technisch nicht überblickt und keiner zulässigen und praktikablen Lösung zugeführt. Hierbei sind „Verhinderer“ ebenso wie blauäugige „Alles-kein-Problem“-Sager zu nennen.

Sicher – auch der Datenschutzbeauftragte kann nicht hexen. Manches lässt sich nicht so umsetzen, wie es vom Management oder beispielsweise auch Vertrieb gewünscht ist. Die Kunst besteht darin, den Rahmen zu kennen und die Anpassungen vorzuschlagen, die es ermöglichen, dem gewünschten Ziel im Ergebnis so nah wie möglich zu kommen, ohne gegen das Datenschutzrecht zu verstoßen. Dies ist aber ohne eine allgemeinjuristische, also nicht allein auf den Datenschutz beschränkte, Ausbildung sowie vertiefte Kenntnisse in der Technik nicht möglich.

2. Der Berater steht nicht ausreichend zur Verfügung

Durch den Hype um die Datenschutz-Grundverordnung (DSGVO) sind viele Anbieter als One-Mann-Show auf den Markt getreten oder haben sonst nicht ausreichenden Personalbestand. Sie nehmen unbegrenzt Beratungsaufträge an, versprechen Kunden mit Kampfpreisen pauschal zu viel und gehen dann schnell unter. Die Folge ist ausbleibende oder aber jedenfalls dem Einzelfall nicht angepasste oder falsche Beratung.

3. Der Berater erzeugt nicht vorgesehene Kosten

Es gibt etliche Modelle, bei denen sich erst in Nachhinein herausstellt, was die Unterstützung tatsächlich kostet. Etwa, wenn die angebotene Leistung des externen Datenschutzbeauftragten nicht klar beschrieben oder nicht transparent abgerechnet wird. Auch Fälle, in denen ein pauschal abgerechnetes Kontingent „völlig unvorhergesehen“ nie oder nur selten ausreicht, sind nicht ungewöhnlich.

4. Die Beratung erfolgt durch wechselnde Personen

Einige Anbieter bieten Unterstützung lediglich per Callcenter. Dem Kunden wird kein fester Ansprechpartner geboten, sondern Anfragen erreichen den nächsten freien Mitarbeiter, der im Zweifel weder den Kunden kennt noch sonderlich qualifiziert ist. Die Folge sind pauschalisierte Antworten und Lösungen von der Stange, die weder auf die konkrete Situation noch auf den konkreten Bedarf des Unternehmens eingehen. Die Folge sind wiederum unzureichende Beratung und Unzufriedenheit.

5. Der Beauftragte hätte nie bestellt werden dürfen

Ob intern oder extern: Der Datenschutzbeauftragte muss unabhängig sein. So verlockend es für ein Unternehmen sein kann, beispielsweise IT-Unterstützung und Datenschutz aus einer Hand zu bestellen – wer als Datenschutzbeauftragter die Güte seiner eigenen Bemühungen als IT-Dienstleister kontrollieren müsste, darf nicht bestellt werden!

Anleitung zum Wechsel des externen Datenschutzbeauftragten

Einer der Vorteile des externen Datenschutzbeauftragten ist es, dass Sie sich relativ einfach von ihm trennen können (im Gegensatz zum internen bzw. betrieblichen Datenschutzbeauftragten). Die folgende Anleitung zeigt Ihnen auf, wie Sie dabei vorgehen sollten, so dass bis zur Bestellung eines neuen externen Datenschutzbeauftragten keine Datenschutzverstöße erfolgen:

1. Suche des Nachfolgers

Soweit Ihr Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, darf keine Lücke entstehen. Suchen Sie sich daher einen neuen Anbieter, der die Aufgaben zeitlich passend übernehmen kann. Achten Sie bei der Auswahl darauf, dass Gründe für den entstandenen Wechselwillen nicht erneut entstehen.

Tipp: Lesen Sie dazu unsere 14 Empfehlungen für die Auswahl eines externen Datenschutzbeauftragten!

2. Kündigung des Dienstleistungsvertrages

Der Datenschutzbeauftragte kann gegen seinen Willen nicht abberufen werden. Nicht geschützt ist aber der Bestand des Dienstleistungsvertrages, auf dessen Basis der externe Datenschutzbeauftragte regelmäßig tätig wird. Diesen können und müssen Sie kündigen. Achten Sie hierbei auf Laufzeiten und Kündigungsfristen, um den korrekten Zeitpunkt für die Nachfolge zu bestimmen.

Die Beendigung der Dienstleistung hat zwar keine Auswirkung auf die Bestellung des Datenschutzbeauftragten. Dieser dürfte aber mit Sicherheit sein Amt von sich aus niederlegen, sobald die Bezahlung ausbleibt.

3. Bestellung des neuen Datenschutzbeauftragten

Wenn die Punkte 1 und 2 erledigt sind, bestellen Sie den neuen externen Datenschutzbeauftragten mit Wirkung zum ersten Tag, der auf die Beendigung der Kooperation mit dem bisherigen Beauftragten folgt. Achtung: Es kann immer nur einen Beauftragten geben! Eine Neubestellung in eine noch bestehende Bestellung hinein ist zweifelhaft. Achten Sie auf ein passendes zeitliches Nacheinander.

4. Meldung an die Aufsichtsbehörde

Melden Sie die Änderung rechtzeitig der für Sie zuständigen Aufsichtsbehörde.

5. Anpassung von Angaben zum Datenschutzbeauftragten

Nehmen Sie rechtzeitig alle erforderlichen Anpassungen an Informationen vor, in denen auf den Datenschutzbeauftragten verwiesen wird oder dessen Kontaktdaten angegeben sind. Denken Sie genauso an Datenschutzhinweise auf der Website, Informationen für Betroffene, Regelungen und Konzepte, wie an Auftraggeber und Partner, die über den Wechsel des Ansprechpartners informiert werden müssen.

6. Übergabe an den neuen Datenschutzbeauftragten

Wird die Unterstützung im Datenschutz durch den neuen Datenschutzbeauftragten so beauftragt, dass sie – ungeachtet der erst später wirksamen Bestellung – sich mit der noch laufenden Kooperation des bisherigen Beauftragten überschneidet, besteht die Chance für eine geregelte Übergabe zwischen den Beauftragten. Aus den eingangs genannten Gründen, die zum Trennungswunsch geführt haben, sind die Erwartungen hieran allerdings möglicherweise zurecht eher gering.

7. Herausgabe von Unterlagen

Fordern Sie die Ihnen zustehenden Unterlagen vom bisherigen Beauftragten heraus. Wichtig: Auch diesen treffen vielfältige Pflichten, Daten aufzubewahren. Sie können daher nicht pauschal die Löschung von Daten verlangen. Fragen Sie aber nach dem, was Ihnen vereinbarungsgemäß zusteht.

8. Entzug von Berechtigungen

Soweit eingerichtet, entziehen Sie dem ehemaligen Datenschutzbeauftragten rechtzeitig Zugangsmittel und Rechte. Denken Sie insbesondere an sämtliche Remote-Zugriffsmöglichkeiten. Deaktivieren oder ändern Sie für den Datenschutzbeauftragten eingerichtete E-Mailadressen. Weisen Sie ggf. Pförtner und anderes Personal auf den Wechsel und die erloschene Zutrittsberechtigung hin.

Soweit dem ehemaligen Datenschutzbeauftragten Schlüssel oder Arbeitsmaterial ausgehändigt wurde, achten Sie auf vollständige Rückgabe.

Sie sind mit Ihrem Anbieter unzufrieden? Hier finden Sie konkrete Informationen, was wir als externe Datenschutzbeauftragte leisten.

Geschrieben am: