Monthly Archives

November 2019

Was hat es mit der Vorabkontrolle im Datenschutz auf sich?

By | Allgemein | No Comments

Als ureigenste Domäne eines Datenschutzbeauftragten und als Königsdisziplin im Datenschutz-Alltag gilt die sogenannte Vorabkontrolle. Auch gilt sie als unentbehrlich für einen revisionssicheren Datenschutz im Unternehmen.

Der Vorteil an der Vorabkontrolle ist vor allem die Möglichkeit, Fehler bei zukünftigen Verfahren frühzeitig zu erkennen und beheben bzw. vermeiden zu können.

Und auch für den Datenschutzbeauftragten kann die Vorabkontrolle eine Möglichkeit sein, sich zu beweisen. Denn dafür ist meist sein ganzes Können gefragt. Sollten trotz höchster Kompetenz seinerseits beispielsweise Zeitknappheit oder Erfahrungsmangel zutage treten, empfiehlt es sich aber auch, externe Unterstützung in Sachen Datenschutz zurate zu ziehen.

Alternativ käme infrage, vor allem bei aufkommenden Unsicherheiten die Aufsichtsbehörde einzuschalten. Was dabei niemand unterschätzen sollte, ist der Aufwand, der für die Vorabkontrolle betrieben werden muss. Dieser ist aber natürlich auch von Unternehmen zu Unternehmen unterschiedlich.

Die Königsdisziplin eines Datenschutzbeauftragten – Trotzdem vernachlässigt

Das Besondere an der Vorabkontrolle im Datenschutz ist unter anderem, dass sie als Königsdisziplin des Datenschutzbeauftragten gilt. Trotzdem ist sie diejenige Komponente seiner Pflichten, die er statistisch am häufigsten falsch versteht, interpretiert und/oder durchführt.

Dabei erstaunt dies angesichts der Tatsache, dass einzig und allein der Datenschutzbeauftragte dazu berechtigt ist, die Vorabkontrolle durchzuführen. Außerdem sichert sie seine Stellung im Unternehmen. Daher verwundert es schon sehr, dass sie nicht zu den Lieblingsthemen eines jeden Datenschutzbeauftragten zählt.

Die Realität hingegen sieht so aus, dass die Vorabkontrolle bei praktischen Abläufen in Betrieben und Behörden häufig übersehen wird. Dabei stellt sich zwangsläufig die Frage, warum dem so ist. Denn ob Unsicherheit oder mangelnde Erfahrung der Grund für die Vernachlässigung ist, stellt dies trotzdem keine Entschuldigung dar.

Wie bereits erwähnt, kann in solchen Fällen auch externe Unterstützung zu Hilfe gebeten werden. Tatsache ist und bleibt nämlich: Führt der Datenschutzbeauftragte die Vorabkontrolle unsauber oder gar nicht durch, ist dies ein ernstzunehmender Verstoß gegen seine Pflichten sowie gegen datenschutzrechtliche Vorschriften.

Führt er die Vorabkontrolle ordnungsgemäß durch, so kann ein Unternehmen datenschutzkonforme Abläufe gewährleisten. Dabei sind es häufig automatisierte Verfahren, die durch die Vorabkontrolle geprüft werden.

Dafür muss das Unternehmen dann aber auch die Hinweise des Datenschutzbeauftragten ernst nehmen und umsetzen. Statistisch betrachtet hätte ein Großteil der Datenschutzverstöße und -skandale der letzten Jahre vermieden werden können. Dafür wäre lediglich eine korrekte Durchführung der Vorabkontrolle und ein Umsetzen der entsprechenden Hinweise des Datenschutzbeauftragten nötig gewesen.

Stattdessen hat man Fallstricke und Verstöße gegen die DSGVO nicht rechtzeitig erkannt und dementsprechend nicht vermeiden können. Dadurch resultierten meist finanziell belastende sowie imageschädigende Folgen für die betroffenen Unternehmen.

Nur wenig bis keine Hintergrundliteratur zur Vorabkontrolle

Das Bildungsmaterial bezüglich der wesentlichen Pflichten eines Datenschutzbeauftragten ist mehr als umfassend. Außerdem gibt es unzählige Datenschutz-Blogs, die über die Gefährdungspotenziale beim Datenschutz informieren.

Man braucht einfach nur einmal im Internet nach Verfahrensverzeichnissen und dazu erforderlichen Verfahrensbeschreibungen suchen. Man findet Dutzende Ergebnisse, wo Checklisten oder brauchbare Dokumente hinterlegt sind, die Aufschluss darüber geben. Ebenso verhält es sich, wenn man nach der Dokumentation technischer und organisatorischer Maßnahmen sucht.

Anders hingegen sieht es beim Thema Vorabkontrolle aus. Hier findet man zwar ein paar relativ identische Hinweise bei den jeweiligen Landesbeauftragten für Datenschutz, doch beziehen sich auch diese Hinweise eher auf öffentlich-rechtliche Institutionen als auf kommerzielle Unternehmen. Außerdem wird hier mehr Bezug auf die jeweiligen Landesdatenschutzgesetze genommen.

Einzige Ausnahme stellt dabei die hessische Landesaufsichtsbehörde dar. Diese hat eine umfassende, leicht verständliche und gut anwendbare Orientierungshilfe zum Thema Vorabkontrolle veröffentlicht. Dies spielt sich aber leider auch hier nur im Rahmen der Behörden ab, für die das hessische Landesdatenschutzgesetz gilt. Mit Ausnahme dieses Beitrags des Landes Hessen gibt es zurzeit so gut wie keine vorfindbare literarische Unterstützung der Datenschutzbeauftragten im Punkt Vorabkontrolle.

Als Fazit lässt sich feststellen, dass die Datenschutzliteratur eklatante Mängel aufweist, wenn es um das Thema der Vorabkontrolle geht. Dies betrifft sowohl betriebliche als auch externe Datenschutzbeauftragte, insofern diese nicht für öffentlich-rechtliche Institutionen tätig sind.

Was sind Aufgaben und Arbeitsfeld eines Beauftragten für Informationssicherheit?

By | Allgemein | No Comments

Um das breit gefächerte Spektrum der Informationssicherheit innerhalb eines Unternehmens einzuführen, zu verwalten und weiterzuentwickeln, empfiehlt sich die Beauftragung oder formale Ernennung eines Informationssicherheitsbeauftragten.

Der Gesetzgeber verpflichtet zwar bislang lediglich sogenannte KIRITS-Infrastrukturen zur Platzierung eines Informationssicherheitsbeauftragten, trotzdem kann eine solche Position in Betrieben dazu beitragen, dass größere Schäden vermieden oder vollständig verhindert werden können. In diesem Zusammenhang ist es wichtig zu wissen, welche Aufgaben ein Informationssicherheitsbeauftragter hat und in welchen Arbeitsfeldern er tätig ist.

Ein Beauftragter für Informationssicherheit soll entlasten und unterstützen

Allein durch die Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gewinnt ein Informationssicherheitsbeauftragter an erheblicher Bedeutung. In Bezug auf unternehmenswichtige Informationen in sowohl analoger als auch digitaler Form kann er unterstützend sowie entlastend Einfluss nehmen.

In der Regel sind fehlende Kenntnisse und Zeit ausschlaggebend dafür, dass Informationen keine ausreichend hohe Bedeutung beigemessen wird. Ein Informationssicherheitsbeauftragter ist hierbei zentraler Ansprechpartner und der Unternehmensleitung unterstellt. Während diese weiterhin die Verantwortung für die Informationssicherheit trägt, handelt der Informationssicherheitsbeauftragte im Auftrag der Geschäftsführung.

Zertifizierung als grundlegende Voraussetzung

Aufgrund der hohen Komplexität der Informationssicherheit ist es notwendig, dass ein Zertifizierungs-Lehrgang absolviert wird. Bei diesem mehrtägigen Lehrgang erlangen die Teilnehmer alle Fachkenntnisse und somit die grundlegende Voraussetzung für das Ausüben der Tätigkeit.

Basis für den Lehrgang sind der internationale Standard für Informationssicherheit ISO 27001/27002 sowie der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Beide Standards sind jeweils für sich oder gemeinsam in einem Unternehmen durch den Informationssicherheitsbeauftragten anwendbar. Jeder, der den Zertifikats-Lehrgang durch das Ablegen der Prüfung erfolgreich abgeschlossen hat, kann nachweisen, dass er die entsprechenden Kenntnisse auf dem Gebiet der Informationssicherheit erfolgreich erlangt hat.

Ein Informationssicherheitsbeauftragter kann verschiedene Aufgaben haben. Diese können sich von Betrieb zu Betrieb erheblich voneinander unterscheiden. Wichtig ist, dass das Aufgabenfeld möglichst präzise in Rücksprache mit der Unternehmensleitung auf deren Interessen und Ziele im Bereich der Informationssicherheit ausgerichtet ist.

Bevor ein Informationssicherbeauftragter jedoch mit der Wahrnehmung seiner eigentlichen Aufgaben beginnen kann, muss er eine Ist-Analyse (Bestands-/Schutzbedarfsanalyse) im Unternehmen durchführen. So kann er gewährleisten, dass die IT-Abteilung zielgerichtet und präzise die Interessen der Leitung umsetzen kann.

Darüber hinaus müssen alle bisher geltenden organisatorischen Regelungen durch den Informationssicherheitsbeauftragten dokumentiert und neu bewertet werden. Die Ergebnisse kann ein Informationssicherheitsbeauftragter der Unternehmensleitung als Ist-Zustand präsentieren.

Die aus diesem Gespräch resultierenden Aufgaben können mitunter die Schulung von Mitarbeitern, die fortwährende Beratung der Geschäftsführung sowie die Durchführung von internen Audits beinhalten.

Essenziell sind hierbei die Erstellung einer IT-Sicherheitsleitlinie sowie von Sicherheitsrichtlinien. Daraus resultieren Risikobewertungen sowie die Neufassung von Verfahrensanweisungen unter Einhaltung aktuell geltender (gesetzlicher) Vorschriften.

Ein Informationssicherheitsbeauftragter, der seine Arbeit auf Basis erkannter und bewerteter Risiken aufbaut, senkt durch die Ergreifung von technischen und organisatorischen Maßnahmen (sog. TOMs) die Eintrittswahrscheinlichkeit von Schäden jedweder Größenordnung. Im Rahmen dieser Tätigkeit überwacht ein Informationssicherheitsbeauftragter alle relevanten Prozesse.

Wichtige Überschneidungen mit dem Datenschutz

Während sich die Informationssicherheit ausschließlich auf den pauschalen Schutz von Daten und Informationen in digitaler sowie analoger Form bezieht, hat der Datenschutz den Schutz von personenbezogenen Daten im Fokus. Dennoch ergeben sich aus der EU-DSGVO gesetzliche Vorgaben, die sowohl die Informationssicherheit als auch den Datenschutz betreffen.

Vor diesem Hintergrund ist es also unabdingbar, dass der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte TOMs besprechen und sie als Entscheidungsgrundlage gemeinsam der Unternehmensleitung präsentieren.

Die genauen Unterschiede der beiden Bereiche werden in unserem Beitrag Wo liegt der Unterschied zwischen Datenschutz und Informationssicherheit? behandelt.

Sehr wahrscheinliche Überschneidungen entstehen oftmals in den Bereichen der Zugangskontrolle, der Zutrittskontrolle oder auch bei der Schutzbedarfsanalyse von IT-Systemen. Die hierbei zum Tragen kommenden Schutzwerte der Vertraulichkeit, Integrität sowie Verfügbarkeit sind die gemeinsame Diskussionsgrundlage für den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten.

Ein Beauftragter für Informationssicherheit bringt hohen Mehrwert

Allein durch die erlangten Fachkenntnisse aus dem Zertifizierungs-Lehrgang sind angehende oder bereits ernannte Informationssicherheitsbeauftrage in der Lage, ein Unternehmen und dessen Strukturen aus einem vollkommen anderen Blickwinkel zu betrachten und Empfehlungen zugunsten der Informationssicherheit auszusprechen. Die Unterstützung und Beratung von Geschäftsleitung und Mitarbeitern bringt einen hohen Mehrwert für das gesamte Unternehmen mit sich. Auch mindert sie das Risiko von Schadensereignissen und Störungen erheblich.

Wo liegt der Unterschied zwischen Datenschutz und Informationssicherheit?

By | Allgemein | No Comments

Datenschutz und Informationssicherheit sind sprichwörtlich zwei Paar Schuhe. Doch im beruflichen Alltag werden die Begrifflichkeiten oft synonym und somit zweckentfremdet verwendet.

Was aber hat es mit den Bezeichnungen Datenschutz und Informationssicherheit auf sich? Um die Unterschiede klar und deutlich zu definieren, ist die fachliche Kenntnis zur Wortbedeutung und dem Sinn der Bezeichnungen notwendig. In Unternehmen überschneiden sich die Bereiche nicht selten. Dadurch ist eine klare Trennung für Mitarbeiter und Außenstehende oftmals nicht oder nur schwer erkennbar gegeben. Doch ein prägnanter Unterschied zeichnet sich ab und ist in puncto Gesetzesvorgabe zu finden.

Was ist Datenschutz – Was ist Informationssicherheit?

Der Datenschutz unterliegt strikten gesetzlichen Auflagen, die zur Einhaltung verpflichten und keine Zuwiderhandlung dulden. Die Informationssicherheit hingegen bietet einen kleinen Auslegungsspielraum. Somit bietet er auch Platz für unternehmenseigene Konzepte. Außerdem zur technischen und organisatorischen Sicherung von Unternehmensdaten.

Primär geht es um die Unterschiede zwischen der Durchsetzung gesetzlicher Vorschriften und der Motivation, eigene Interessen durchzusetzen. Auch geht es darum, die sensiblen Daten des Unternehmens mit entsprechender Sorgfalt zu behandeln.

Im Datenschutz gibt es nach der Einführung der strengen Richtlinien nach DSGVO keinen Spielraum für Unternehmer. Wird gegen die Vorschriften gehandelt und es liegt ein Datenschutzverstoß vor, drohen hohe Bußgelder und andere Einschränkungen in der Unternehmensführung. Auch die Sicherung der Informationen spielt natürlich eine wichtige Rolle. So bedarf diese ebenso großer Sorgfalt wie der Datenschutz. Wenn es zu Überschneidungen kommt, was beispielsweise beim Umgang mit Kunden-, Mandanten- oder Patientendaten der Fall ist, hat die DSGVO vor dem unternehmenseigenen Konzept Vorrang. Sie ist somit erstrangig umzusetzen.

Konflikte durch Überschneidungen keine Seltenheit

Auf den Firmencomputern ist es üblich, dass jeder Mitarbeiter einen persönlichen Login hat. Er erhält nur über diesen den Zugang zu Firmendaten, Kundendaten oder Patientendaten. Durch die Notwendigkeit des Logins lässt sich später nachvollziehen, welcher Mitarbeiter zu welchem Zeitpunkt und an welchem Computer mit den Daten gearbeitet hat. Die Speicherung der Anmeldung dient der Informationssicherheit. Sie ist somit in erster Linie eine Maßnahme, durch die unbefugte Zugriffe vermieden und die Berechtigung zur Verwendung der Daten geschützt werden soll.

Im gleichen Atemzug ist die Speicherung der Anmeldedaten aber auch ein Vorgang, dem genau wie bei den Cookies nach dem EuGH Urteil, ausdrücklich zugestimmt werden muss. Wird keine Einwilligung gefordert oder erteilt, darf laut Datenschutz keine Speicherung erfolgen. Dies ist ein Beispiel, wo sich Datenschutz und Informationssicherheit konträr gegenüberstehen. So führen sie nicht selten zu offenen Fragen in der Unternehmensleitung. Ein Datenschutzbeauftragter kann helfen, die Unterschiede zwischen dem Datenschutz und der Informationssicherheit offenzulegen. Somit kann er einen legalen, sensible Daten schützenden Umgang entwickeln.

Freiwillige Zustimmung zur Datenverarbeitung hebt Datenschutz teilweise aus

Mit Einführung der DSGVO dürfen personenbezogene Daten nur verwendet werden, wenn der Inhaber der Daten ausdrücklich zustimmt. Eine ohne die direkte Zustimmung erfolgende Verarbeitung und Verwendung steht dem Gesetz entgegen. Sie wird im Streitfall zu Ungunsten des datenverarbeitenden Unternehmens ausgelegt. Im Bereich Informationssicherheit geht es um Organisation und technische Maßnahmen für die Integrität und Verfügbarkeit. Auch geht es um die Vertraulichkeit der Daten.

Durch die Vergabe personenbezogener Logins lassen sich Manipulationen ohne Rückverfolgungsmöglichkeit und die damit verbundenen Schäden für ein Unternehmen vermeiden. Durch ein sicheres und präzises Konzept im Bereich Informationssicherheit werden die im Unternehmen vorhandenen Daten vor den Augen der Konkurrenz verborgen und entsprechend geschützt. Daher sind Informationssicherheits-Konzepte auch ein Anliegen, dem die Personalabteilung größte Motivation widmet und eine maßgeschneiderte Konzeption anstrebt.

Der Auslegungsspielraum im Datenschutz ist hingegen eindeutig. Nur wer sich an die Regeln hält und nach den Vorgaben der DSGVO handelt, spart sich Ärger und hohe Bußgelder mit empfindlicher Auswirkung auf die Liquidität und natürlich auf die Vertrauenswürdigkeit eines Unternehmens.

Trotz Überschneidung deutliche Unterschiede

In vielen Unternehmen sind Datenschutz und die Informationssicherheit untrennbar miteinander verbunden. Eine Überschneidung kann vorteilhaft, aber auch nachteilig sein und erhöhte Schwierigkeiten mit sich bringen. Im Zweifelsfall, wie im oben aufgeführten Beispiel, gilt immer die gesetzliche Vorgabe, die allein durch ihren rechtlichen Bestand verbindlich ist und über der Informationssicherheit steht. Bei sehr komplexen Überschneidungen kann ein Datenschutzbeauftragter für Entwirrung sorgen und ein Konzept einführen, das alle Regeln und Vorschriften beachtet und den notwendigen Freiraum in der Informationssicherheit gibt.

Welche Aufgaben und Funktionen hat ein Datenschutzbeauftragter?

By | Allgemein | No Comments

Mit Einführung der verschärften Datenschutzrichtlinien, der DSGVO, ergibt sich für viele Unternehmen die essenzielle Verpflichtung zur Bestellung eines speziellen Beauftragten für den Datenschutz. Prinzipiell gilt die Verpflichtung für jedes Unternehmen, das dauerhaft mehr als neun Beschäftigte mit der Erhebung und Bearbeitung von Daten beauftragt. Dabei ist es irrelevant, ob die Mitarbeiter festangestellt, ehrenamtlich oder in externer Dienstleistung tätig sind.

Aufgabenportfolio – Beauftragter im Datenschutz

Ein Datenschutzbeauftragter trägt hohe Verantwortung. Er ist als Bindeglied zwischen der Geschäftsführung und der Belegschaft tätig. Er muss frühzeitig eingebunden und mit allem notwendigen Fachwissen bedacht werden. Bei Problemstellungen oder Beschwerden zum Datenschutz ist ein Beauftragter der Ansprechpartner für Betroffene.

Darüber hinaus bilden folgende Kompetenzen sein Kernaufgabengebiet:

  • Ein Beauftragter für den Datenschutz führt Schulungen durch
  • Er sensibilisiert die Belegschaft für den rechtskonformen Umgang mit sensiblen Daten
  • Er trägt die Pflicht zur Überwachung der Einhaltung aller Vorschriften im Datenschutz
  • Daher arbeitet er auch mit der zuständigen Aufsichtsbehörde zusammen. Seine Arbeitsgrundlage ist die DSGVO

Wenn es um die Vertretung von Interessen und um die Beilegung von Interessenskonflikten geht, muss ein Beauftragter im Datenschutz absolute Loyalität beweisen. Die Vermeidung von Konflikten verschiedener Interessen steht bereits bei der Bestellung des Beauftragten im Fokus.

So kann ein Datenschutzbeauftragter nicht gleichzeitig der Geschäftsführer des Unternehmens sein. Auch der Leiter der Personal- oder IT-Abteilung kommen für diese Funktion nicht in Frage. Wenn ein Beauftragter für ein IT-Unternehmen mit weniger Mitarbeitern bestellt wird, empfiehlt sich in diesem Fall die externe Beauftragung.

Vergabe der Kompetenz von Seiten des Unternehmens

Damit ein Datenschutzbeauftragter tätig werden und die Datenschutz-Einhaltung überprüfen kann, benötigt er spezielle Berechtigungen und Informationen. Nur mit den erforderlichen Zugängen und der Weisungsfreiheit kann ein Beauftragter seiner Verantwortung und den Pflichten aus der Bestellung gerecht werden.

Die Vergabe der Kompetenzen und Weisungsbefugnisse gilt für interne und externe im Datenschutz tätige Personen. Bestellt man einen Beauftragten, benötigt dieser alle Informationen, die zur Ausübung seiner Tätigkeit notwendig sind. Auch eine Benachteiligung auf Basis der Aufgabenstellung muss unterbleiben.

Ein äußerst wichtiger Punkt ist die Geheimhaltung vertraulicher Informationen. Auch wenn ein Datenschutzbeauftragter Ansprechpartner bei Problemen in allen datenrechtlichen Fragen ist, unterliegt er der Verpflichtung zur Geheimhaltung.

Dem gegenüber steht die Verpflichtung zur Berichterstattung. Diese übt ein Beauftragter ausschließlich gegenüber dem Auftraggeber oder einer berechtigten Aufsichtsbehörde aus. Man macht sich mit der öffentlichen, unbefugten Verbreitung sensibler Informationen strafbar. Doch sogar auch die Regeln der DSGVO untersagen dies strikt.

Die DSGVO als „Handwerkszeug“ von Datenschutzbeauftragten

Ein Datenschutzbeauftragter ist an die Vorschriften der DSGVO gebunden. Er kennt die rechtlichen Zusammenhänge, die Umsetzung der Richtlinien und den Umfang seines Tätigkeitsbereichs. Neben der Beratung trägt ein Beauftragter im Datenschutz die volle Verantwortung in der Überwachung der Einhaltung von Richtlinien. Er nimmt Schulungen vor, um dem Personal des Unternehmens den Datenschutz näherzubringen und ihre Sensibilität zu fördern. Die eigene Verarbeitung der Daten setzt eine Abwägung des Risikos voraus, die der Beauftragte mit größter Sorgfalt und Konformität mit dem Gesetz trifft.

Schreibt die Aufsichtsbehörde vor, dass ein Datenschutzbeauftragter bestellt werden muss, kann ein Unternehmer nicht ablehnend reagieren. Auch die Verweigerung der Bereitstellung wichtiger Informationen zur Ausübung der Tätigkeit zieht kostspielige Folgen nach sich. Ein Beauftragter im Datenschutz hat viele Verpflichtungen, aber auch einige Rechte. Größeren Firmen bestellen zugunsten der Unbefangenheit und Ergebnissicherheit meist einen externen Beauftragter. Dieser muss die Qualifikation für die Ausführung der Tätigkeiten in Form einer Zertifizierung nachweisen.

Die Funktion Datenschutzbeauftragter im Unternehmen

In Bezug auf die Funktionen hat der Verantwortliche für Datenschutz die Aufgabe, den sicheren und vertrauenswürdigen Umgang mit Daten sicherzustellen. Diesbezüglich überprüft und überwacht er. Er legt neue Strategien fest und erstattet berechtigten Führungskräften und Aufsichtsbehörden Bericht. Im Unternehmen selbst ist ein betrieblicher Datenschutzbeauftragter tätig. Die Bestellung muss allerdings, z.B. aufgrund der Unternehmensgröße oder Ausnahmen, nicht immer nötig sein. So kann ein behördlicher oder vom Land abgeordneter Beauftragter die Einhaltung der Datenschutz-Vorschriften ohne Voranmeldung im Unternehmen prüfen.

Von dieser Praktik macht man im Regelfall nur dann Gebrauch, wenn ein Grund für die Sonderprüfung auftritt. Dies können Beschwerden von Kunden, oder aber die Meldung Datenschutzbeauftragter in betrieblicher Tätigkeit sein. Die DSGVO sieht für Datenschutzfehler hohe Bußgelder und Einschränkungen in der Firmen-Performance vor.