Rechtsverstoß des Cloud-Anbieters – was müssen Unternehmen tun?

Da auch Cloud-Anbieter an einer möglichst kosteneffizienten Arbeitsweise interessiert sind, werden Vorgaben der Auftraggeber nicht immer strikt eingehalten. Kommt es zu Abweichungen, lässt sich mit Hilfe folgender Kategorisierung ermitteln, welche Reaktionen bei Rechtsverstößen von Cloud-Anbietern für Unternehmen angezeigt sind.

4 Kriterien für die Auswahl eines Cloud-Anbieters

Bei der Auswahl eines Cloud-Anbieters sollte nicht nur auf eine optimale Anpassung der Service-Level-Agreements geachtet werden. Eine wesentlich wichtigere Rolle spielt der rechtskonforme und sichere Umgang des Anbieters mit den Daten des Auftraggebers. Vier wichtige Kriterien sollten dabei berücksichtigt werden.

Datenschutz in der Arztpraxis

Eine Arztpraxis hat die datenschutzrechtliche Besonderheit, dass sie unausweichlich höchst sensible Daten verarbeitet. Zudem unterliegt sie der ärztlichen Schweigepflicht nach §203 Abs. 1 StGB. Daher haben sowohl Patienten als auch Ärzte ein großes Interesse daran, dass beim Umgang mit personenbezogenen Daten größtmögliche Sorgfalt angewandt wird. Allein die Tatsache, dass eine Person in ärztlicher Behandlung ist, reicht aus, um als besondere personenbezogene Daten zu gelten. Deshalb ist bereits diese Information besonders schützenswert. Der Datenschutz beginnt daher nicht erst an der Tür zum Behandlungszimmer, sondern ist in der gesamten Praxis angemessen umzusetzen. Folgende sechs Tipps helfen Ihnen dabei.

Zuverlässigkeit des Datenschutzbeauftragten

Das Gesetz stellt hohe Anforderungen an die Personen, die zum Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Komplexe der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klare Konturen und Abgrenzungen, und sorgt daher in der Praxis öfter für Verwirrung. Daher soll dieser im Folgenden genauer dargestellt werden.

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Ohne Datenschutzbeauftragten droht Bußgeld

Noch immer scheinen es viele Verantwortliche nicht zu wissen, aber so gut wie jedes Unternehmen muss einen betrieblichen Datenschutzbeauftragten bestellen. Bei Zuwiderhandlung droht ein Bußgeld von bis zu 50.000 Euro. Die Aufsichtsbehörden wollen verstärkt die ordentliche Bestellung eines Datenschutzbeauftragten in Unternehmen überprüfen.

Die Fachkunde des Datenschutzbeauftragten

Viele Unternehmen sehen die gesetzliche Vorgabe zur Bestellung eines Datenschutzbeauftragten als lästige Pflicht an. Daher wird oftmals ein Mitarbeiter, der der Geschäftsführung nahesteht oder dem sonst großes Vertrauen entgegengebracht wird, zum Datenschutzbeauftragten bestellt – und eben nicht derjenige mit der größten Fachkunde. Die Bestellung eines nicht fachkundigen Mitarbeiters zum Datenschutzbeauftragten stellt jedoch eine Ordnungswidrigkeit dar und kann mit bis zu 50.000 € Bußgeld geahndet werden. Leider lässt das Gesetz unklar, was genau unter dem Begriff der Fachkunde zu verstehen ist. Genauere Anforderungen haben sich jedoch inzwischen in der Praxis herauskristallisiert und werden im Folgenden dargelegt.

Aufsichtsbehörde prüft E-Mailsicherheit

Das Bayerische Landesamt für Datenschutzaufsicht prüft aktuell erneut zufällig ausgewählte Unternehmen auf die Beachtung datenschutzrechtlicher Vorgaben. Diesmal geht es um ein sehr konkretes Thema: die Sicherheit der eingesetzten E-Mailserver.

Canvas Fingerprinting – Tracking mit Bildern

Auf zahlreichen Webseiten wird ein neues Trackingverfahren eingesetzt, dessen datenschutzrechtliche Zulässigkeit noch ungeklärt ist. Der Einsatz des Verfahrens erfolgt teilweise ohne das Wissen der Webseitenbetreiber, die daher ihre Informationspflicht gegenüber den Nutzern verletzen.

Verfahrensverzeichnis und Vorabkontrolle: unterschätzte Pflichten

Verantwortlichen in Unternehmen ist die rechtliche Bedeutung von vollständigen Verfahrensverzeichnissen und nachweisbar durchgeführten Vorabkontrollen häufig nicht bewusst: Alle Verfahren innerhalb eines Unternehmens, mit denen personenbezogene Daten verarbeitet werden, müssen in einem sogenannten Verfahrensverzeichnis abgebildet sein. Damit möchte der Gesetzgeber sicherstellen, dass das Unternehmen sich ausreichend mit dem notwendigen Schutz dieser Daten auseinandergesetzt hat. Selbst wenn für die Art der in Frage stehenden Datenverarbeitung eine gültige Rechtsgrundlage vorhanden ist, wird sie dennoch rechtswidrig, wenn kein oder ein nur unvollständiges Verfahrensverzeichnis vorliegt oder wenn keine Vorabkontrolle dokumentiert durchgeführt wurde.