Was bedeutet Stand der Technik

/in , ,

In Artikel 32 DSGVO steht, dass „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ zu treffen sind.

Und in Artikel 25 heißt es „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen.“

Was ist der Stand der Technik?

Ein großer Streitpunkt insbesondere beim Umsetzen von Maßnahmen ist immer die Frage, was denn eigentlich Stand der Technik ist. Denn jede Technik hat eine Innovationsphase in der die Idee und die Umsetzung „reifen“ und eine Phase in der durch eine Akzeptanz und Verwendung das Produkt oder der Service eine Verbreitung findet. Ist es damit dann automatisch Stand der Technik? Die Frage lässt sich leider nicht pauschal beantworten und es kann tatsächlich dazu kommen, dass hier im Schadenfall eine rechtliche Auseinandersetzung stattfinden könnte, wenn es dazu unterschiedliche Ansichten gibt. Ebenfalls spielt hier auch der Faktor eine Rolle, ob das Ganze denn wirtschaftlich für das Unternehmen gewesen wäre, auf einen gewünschten Technikstand zu wechseln. Und zuguter letzt hat das Ganze noch mit Maßnahmen und Verfahren zu tun, die der ganzen Sache zugrunde liegen. Wie kommt man hier also weiter?

Blick zur Cyberversicherung

Die massive Zunahme der Cyberattaken hat nicht nur die Unternehmen sondern auch die Versicherer in helle Aufruhr versetzt. Die Cyberversicherung ist nämlich eine noch sehr junge Versicherungsleistung und in den Jahren der Entstehung war das Ganze ein tolles Geschäft für die Versicherer. Bereits 2020 zeichnete sich ab, dass das System kippt und die Ausgaben die Einnahmen übersteigen. Die Folge ist, dass die Prämien drastisch steigen und nur noch Unternehmen versichert werden, wenn diese entsprechende Vorleistungen zur Sicherstellung der IT-Sicherheit ergriffen haben. Wer also einen Fragebogen hierzu erhält oder gar ein Audit vom Versicherer vorgeschlagen bekommt tut gut daran, die technischen und organisatorischen Maßnahmen genau zu erfassen und anzugeben. Und hier kommt wieder der Stand der Technik ins Spiel, denn der Versicherer muss den Technikstand unter Risikogesichtspunkten bewerten, damit er die Prämie berechnen kann.

Bundesverband IT-Sicherheit

Hierzu wird gerne auf die Publikationen des Bundesverbandes IT-Sicherheit e.V. zurückgegriffen. Denn dieser publiziert jährlich eine „Handreichung zum Stand der Technik“. In diesem Dokument werden dazu Maßnahmen erläutert, wie man einen Technologiestand beurteilen kann, ebenso welche Mindeststandards sowohl organisatorisch als auch technisch vorausgesetzt werden. Ich empfehle, sich diese Lektüre anzuschauen und Ekenntnisse hieraus auch für die Beurteilung der eigenen Maßnahmen heranzuziehen. Diejenigen, die bereits Sicherheitsnormen umgesetzt haben werden viel Bekanntes erkennen und hoffentlich weitere Inspirationen erhalten.

 

Homeoffice Regelung in AV-Verträgen

/in ,

Corona bewirkt eine deutlich stärkere Nutzung von mobilen Arbeitsmöglichkeiten besonders im Homeoffice. Bisher war das mobile Arbeiten eine Domäne der Unternehmensberatungen. Jetzt nutzen auch viele andere Dienstleistungsunternehmen diese Möglichkeiten.

Dieses Thema spielt immer häufiger auch in AV-Verträgen eine Rolle, hat aber weitreichende Auswirkungen aus Sicht des Auftraggebers und eines Auftragsverarbeiters, die beachtet werden sollten. Dabei berücksichtigen die folgenden Ausführungen stärker die Rolle des Auftragsverarbeiters.

Technische und organisatorische Maßnahmen für das Homeoffice

Für einen Auftragsverarbeiter ist zuerst wichtig, dass in einem AV-Vertrag keine Einschränkungen für den Arbeitsort der Mitarbeiter abgeschlossen werden. Das heißt es sollte das mobile Arbeiten außerhalb der Geschäftsräume des Auftragverarbeiters zulässig sein.

Grundsätzlich sind im Sinne der DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, die den Schutz der personenbezogenen Daten (aber auch Firmendaten) sicherstellen. Für eine mobile Nutzung sind daher gesonderte Maßnahmen zu definieren. Hierzu gehört beispielsweise, dass der Zugang zu Daten immer verschlüsselt erfolgen sollte, idealerweise mit einer Zweifaktorauthentifizierung. Die Datenübertragung sollte genauso verschlüsselt sein (VPN-Verbindung) ebenso wie die Endgeräte. Hilfreich für das Erkennen von Maßnahmen ist z.B. das IT Grundschutzkompendium des BSI (2020) INF.9. „Mobiler Arbeitsplatz“.

Es ist unbedingt darauf zu achten, dass diese Maßnahmen auch in den „technischen und organisatorischen Maßnahmen“ dokumentiert sind. Denn hierauf referenzieren das Verarbeitungsverzeichnis und der AV-Vertrag immer. Hierzu gehören ebenso Richtlinien, die die Verpflichtungen für die Mitarbeiter für mobiles Arbeiten und / oder Homeoffice beinhalten.

Auch der Bundesdatenschutzbeauftragte empfiehlt, die explizite Genehmigung der Arbeit an einem Arbeitsplatz außerhalb der Betriebsräume  in den AV-Vertrag durch den Auftraggeber aufzunehmen.

Problematisch ist es für Auftragsverarbeiter, wenn die vereinbarten TOMs die Regelungen für das mobile Arbeiten inkl. Homeoffice gar nicht beinhalten. Nach Artikel 28 Abs. 10 DSGVO können Abweichungen von den vertraglichen Regelungen so gewertet werden, als ob der Auftragsverarbeiter nicht mehr Weisungsempfänger ist. Damit würde ein Auftragsverarbeiter Verantwortlicher für die Daten des Auftreggeber, eine für beide Seite unangenehme und kritische Situation.

Zusätzliche vertragliche Verpflichtungen mit Mitarbeitern

Im Rahmen eines AV-Vertrages gehen immer mehr Auftraggeber dazu über, für das Homeoffice spezifische Bedingungen zu fordern. Neben dem Verbot der Speicherung auf lokalen Geräten könnte auch das Kontrollrecht eingefordert werden. Der Auftraggeber behält sich in so einem Fall vor, im Bedarfsfall beim Auftragnehmer auch den Arbeitsplatz des Mitarbeiters zu Hause zu kontrollieren.

Hier gibt es nun große Ähnlichkeit zu den bisher sogenannten „Telearbeitsplätzen“. Handelt es um einen ständigen Arbeitsplatz, der auch nur zeitweise genutzt wird oder findet die Arbeit auf Anordnung des Arbeitgebers explizit zu Hause statt, dann gelten für diesen Arbeitsplatz ähnliche Bedingungen wie für einen Arbeitsplatz in der Firma. Der Mitarbeiter erhält dadurch  das Recht, dass der Arbeitsplatz nach den geltenden Verordnungen für Arbeitsstätten ausgestattet wird. Der Arbeitgeber erhält auch die Pflicht, die Vorgaben hierfür zu machen und die Umsetzung auch zu kontrollieren. Hierzu ist es dann allerdings erforderlich, dass diese Rechte und Pflichten in einer speziellen Vereinbarung mit dem Arbeitnehmer i.d.R. als Ergänzung oder Teil eines Arbeitsvertrages geschlossen werden müssen, um somit seine Zustimmung eingeholt wird. Denn mit den Kontrollmöglichkeiten durch den Auftraggeber wird automatisch Artikel 13 des Grundgesetzes tangiert, in dem – vereinfacht – die Unverletzlichkeit der Wohnung festgeschrieben ist.

Wird nun im Rahmen eines AV-Vertrages ein solche Kontrollrecht für den Heimarbeitsplatz eines Mitarbeiters vereinbart, dann gelten die gleichen Einschränkungen wie beschrieben.

Zusätzliche Herausforderung ist, dass Mitbewohner, wie Ehepartner, Lebenspartner, volljährige Kinder, Mitbewohner, etc. ebenfalls zustimmen müssten, sind sie doch ebenfalls betroffen.

Diese Zustimmung / Vereinbarung muss vor einem Abschluss eines AV-Vertrages getroffen werden, in dem solche Kontrollmöglichkeiten eingeräumt werden.

Zusammenfassung

Es ist wesentlich, die oben aufgeführten Voraussetzungen zu schaffen, bevor Vereinbarungen als Auftragsverarbeiter in AV-Verträgen abgeschlossen werden. Erschwerend kommt hinzu, dass Dritte betroffen sein können, die hier ebenfalls abgeholt werden müssen. Hier sollten auch Arbeitsrechtler eingebunden werden, um die vorliegenden Anforderungen zu prüfen und belastbare Vereinbarungen / Zustimmungen zu entwerfen.

Herausfordernd ist in diesem Zusammenhang eine mögliche pauschale Übertragung solcher Verpflichtungen auf Unterauftragnehmer.

Unklar bleibt leider auch, wie die Kontrollmöglichkeiten der Aufsichtsbehörden an privaten Arbeitplätzen im Bedarfsfall ermöglicht werden sollen.

Gespannt sein darf man auf die diskutierten Regelungen der Bundesregierung, die hier ein Recht auf Arbeitsplätze im Homeoffice verankern möchte, ob automatisch das Zuhause zu einem Firmenarbeitsplatz wird. Hier muss dann vom Gesetzgeber geklärt werden, ob und wenn ja wie die Kontrollmöglichkeiten in Vereinbarung mit dem Grundgesetz erfolgen sollen, wenn es sich nicht um einen „Telearbeitplatz“ handelt.

Haben Sie weitere Fragen zu diesem Thema? Dann sprechen Sie uns einfach an.

Ketten

Privacy Shield und EU Standardvertragsklauseln

/in ,

Der europäische Gerichtshof hat am 16.Juni 2020 das Privacy Shield Abkommen der EU Kommission mit den USA für ungültig erklärt. Damit wird die datenschutzkonforme Rechtsgrundlage für den Datentransfer und die Verarbeitung von personenbezogenen Daten in die USA für unwirksam erklärt.

Darüber hinaus gehören die USA ab sofort zu den Drittländern, in denen die Verarbeitung von personenbezogenen Daten aus der EU für unsicher erklärt wird und ohne zusätzliche Vereinbarungen nicht mehr zulässig ist. Da sich auch die sogenannten Standardvertragsklauseln für Auftragsverarbeitungsverträge auf ein angemessenes Datenschutzniveau in den USA berufen ist sehr wahrscheinlich, dass diese ebenfalls ihre Gültigkeit verlieren werden. Wer sie weiter benutzt, muss als Verantwortlicher zumindest genau prüfen, ob der Schutz der Daten durch geeignete Maßnahmen gewährleistet werden und hierzu zusätzliche Vereinbarungen getroffen werden müssen.

Gültigkeit der Standardvertragsklauseln

Die EU muss zur weiteren Gültigkeit den Standardvertragsklauseln noch Stellung beziehen, diese außer Kraft setzen und evtl. Alternativen anbieten. Ob eine personenbezogene Einwilligung für eine Verarbeitung in den USA ausreicht darf ebenfalls bezweifelt werden, da hier eine entsprechend umfangreiche Aufklärung des Betroffenen erfolgen muss und der europäische Gerichtshof grundsätzlich davon ausgeht, dass die Grundrechte der EU Bürger bzgl. Datenschutz in den USA verletzt werden.

Die Rechtslage bzgl. der Standardvertragsklauseln ist also aktuell unscharf und umfangreich interpretierbar. Dieses Risiko sowie der hohe Aufwand zur Erstellung zusätzlicher Vereinbarungen liegt somit auf der Seite des Verantwortlichen.

Folgen für die Praxis

In der Praxis bedeutet dies, dass eine Verarbeitung durch amerikanische Unternehmen nur auf Systemen, die sich in der EU befinden zulässig sein wird. Dazu gehört auch, dass keine Dienstleister eingesetzt werden sollten, die auf Basis des jetzt ungültigen Privacy Shield Abkommens Dienstleister (Subunternehmen) beauftragt haben.

Was sollte jetzt getan werden:

  • Prüfen Sie alle AV-Verträge mit Dienstleistern in den USA, ob diese auf das Privacy Shield Abkommen referenzieren. Diese Grundlagen sind ab sofort ungültig und Sie befinden sich in dem Risiko, die DSGVO zu verletzen.
  • Prüfen Sie in allen AV-Verträgen die Angaben der Subunternehmer. Im Falle des Einsatzes eines amerikanischen Dienstleisters ohne europäischen Serverstandort bitten Sie Ihren Vertragspartner um Auskunft bzgl. der weiteren Vorgehensweise zur Umsetzung des aktuellen Urteils.
  • Entfernen Sie in Ihrer Datenschutzerklärung die Hinweise auf das Privacy Shield Abkommens als Basis für die Übermittlung von Daten in die USA und Ergänzen Sie im Falle alternativer Lösungen diese Informationen auf Ihrer Webseite.
  • Achten Sie beim Abschluss neuer Verträge ab sofort darauf, dass die Datenübermittlung in die USA ausgeschlossen werden sollte.

Bei weitere Fragen zu diesem Thema sprechen Sie uns gerne an. Hier geht es zu unseren Kontaktdaten.

Videoconferencing

Vorsicht Videoconferencing?

/in , ,

Die Corona Krise bringt neben den Kontaktverboten auch Videoconferencing auf den Weg in den normalen Arbeitsalltag. So haben viele Firmen festgestellt, dass Sie für ein Arbeiten außerhalb der eigenen Räume technisch nicht aufgestellt sind. Hierdurch wird natürlich das Thema Digitalisierung vorangetrieben. Analoges gilt für das Thema Schulungen, bei denen aktuell die Online-Kursangebote einen großen Zulauf erhalten. Nachteilig ist, dass momentan einige Regelungen unter dem Gesichtspunkt der Notsituation einfach ignoriert werden und dazu gehören der Datenschutz und die IT-Sicherheit. Aus den Erfahrungen der letzten Wochen habe ich einige Punkte zusammengetragen, die ich in diesem Kontext gerne weitergeben möchte.

ZOOM

Ein wesentliches Thema in diesem Kontext sind die Conferencing Systeme, die jetzt von Firmen genutzt werden sollen. Dabei sticht aktuell das System Zoom immer wieder heraus, ist es doch augenscheinlich einfach, kostenlos und bis zu gleichzeitig 100 Teilnehmern nutzbar. Zoom ist Teil von Privacy Shield und bietet einen AV-Vertrag an. Damit erfüllt Zoom die Anforderungen der DSGVO. Rechtsgrundlage hier ist i.d.R. Artikel 6 lit b. DSGVO. Dennoch häufen sich die Hinweise auf eklatante Sicherheits- und Datenschutzprobleme. Um hier nicht wieder alle Punkte aufzuführen verweise ich auf ein paar Artikel, die unter den folgenden Links zu finden sind.

April Beitrag von Computerbild

April Beitrag von B24 zur Reaktion von Zoom auf die Vorwürfe

April Beitrag Sueddeutsche

April Beitrag Vice Magazin

Die Entscheidung, ob Zoom mit den aktuell gefundenen Sicherheitslücken ideal ist muss jeder selber entscheiden. Möglicherweise sollte aber die Nachbesserungen von Zoom erst umgesetzt und kritisch getestet werden, bevor ein Einsatz in Unternehmen erfolgt.

Cisco Webex und Microsoft Teams

Welche Alternativen gibt es denn für Firmenkunden. Auch hier ist eine Vielzahl von Lösungen auf dem Markt erhältlich. Mir begegenen immer wieder zwei primäre Lösungen und dies ist Cisco Webex und Microsoft Teams. Beide sind Privacy Shield zertifiziert, Cisco bietet ebenfalls den AV-Vertrag mit den Standarddatenschutzklauseln an. Insbesondere momentan bieten beide Anbieter mit ihren wohlkerprobten Angeboten auch preislich Alternativen zu freien Systemen wie z.B. ZOOM an.

Beitrag Magazin LANline zu Webex und MS Teams

Weitere Anbieter

Eine Vielzahl von Anbietern tummeln sich auf dem Markt. Unabhänging von Datenschutz und Informationssicherheit unterscheiden sich viele Systeme in der Anzahl der gleichzeit performant nutzbaren Verbindung, der Übertragungsqualität, der einfachen Bedienbarkeit und natürlich bei den Kosten. Zum Datenschutz verweise ich hier auf die gute Übersicht von Dr. Schwenke unter folgendem Link:

Dr. Schwenke: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

Verhalten in einer Konferenz

Erst einmal ist es wichtig im Falle des Einsatzes einer Videoconferencing Software nicht zu vergessen, das Verfahrensverzeichnis zu aktualisieren sowie einen AV-Vertrag abzuschließen. Darüber hinaus haben sich ein paar Verhaltensregeln bewährt, die das Thema Datenschutz (insbesondere auch den Schutz der Privatsspäre) unterstützen:

  • Nutzen Sie die Möglichkeit, den Hintergrund auszublenden oder weich (unscharf) zeichnen zu lassen (Blur Effekt).
  • Sofern nur das private Wohnzimmer als Arbeitsplatz zur Verfügung steht, sollte von einer Videoübertragung abgesehen werden, wenn andere Familienmitglieder unfreiwillig durchs Bild laufen.
  • Wenn man aktiv nicht redet sollte das Mikrofon auf stumm gestellt werden, um zu vermeiden, dass sämtliche Gespräche mit anderen Bewohnern, das Klingeln des Postboten oder der Ruf zum Mittagessen, allen Teilnehmern offeriert wird.
  • Lassen Sie keine vertraulichen Unterlagen im sichbaren Videobereich liegen. Insgesamt sollte das Bild primär auf das Gesicht fokussiert werden. Einige Kameras erledigen das sogar automatisch.
  • Sofern Sie Moderator sind öffenen Sie auf Ihrem Rechner nur die Programme, die für die Konferenz wesentlich sind. Peinlich und kritisch ist, wenn Sie versehentlich Bildschirminhalte teilen, die nicht für andere bestimmt sind.
  • Führen Sie parallel keine Telefonate ohne zu prüfen, ob die Mikrofonfunktion und die Videoübertragung ausgeschaltet sind (generell sollten Sie sich nur auf die Konferenz fokussieren).
  • Melden Sie sich beim Eintreten in eine Konferenz mit Ihrem Namen und begrüßen die anderen Teilnehmer. Prüfen Sie in der Teilnehmerliste online, ob Sie die dort angegeben Namen kennen und seien Sie in Ihren Äußerungen zurückhaltend, wenn Sie nicht sicher sind, wer tatsächlich teilnimmt. Deshalb empfehlen wir auch, sich in einer Conferencing Session mit ihrem  Namen anzumelden.

Rechenschaftspflicht erfüllen

/in ,

Wenn sich Aufsichtsbehörden melden und Fragen zur Umsetzung des Datenschutzes stellen geht es  häufig um die Erfüllung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO. In Artikel 5 DSGVO steht: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können“.

Im Gegensatz zum alten BDSG muss also seit Gültigkeit der DSGVO der Verantwortliche, d.h. das Unternehmen nachweisen, dass es den Datenschutz umgesetzt hat.  Hier sind auf Anfrage der Aufsichtsbehörden Unterlagen beizubringen, die aufzeigen sollen, welche Maßnahmen ergriffen wurden.

Welche Dokumente sind sinnvoll?

In den folgenden Absätzen haben wir einige Unterlagen aufgeführt, die eine hohe Relevanz zur Erfüllung der Rechenschaftspflicht haben können. Je nach Unternehmensgröße kann es hier weitere Ergänzungen geben. Wichtig ist, dass nicht der Datenschutzbeauftragte diese Pflicht erfüllen muss, sondern das Unternehmen. In unserem Artikel über den Datenschutzkoordinator haben wir bereits erwähnt, dass dies eine operative Aufgabe ist, die ein  Datenschutzkoordinator steuern bzw. durchführen könnte.

Ernennung eines Datenschutzbeauftragten

Auch wenn lt. DSGVO keine schriftliche Ernennung vorgesehen ist, empfehlen wir, eine offizielle Ernennung mit der Zustimmung des Datenschutzbeauftragten zu dokumentieren und hier die Aufgaben entsprechend Artikel 39 DSGVO zu beschreiben.

Bei der Ernennung sollte ebenfalls berücksichtigt werden, dass der ernannte Datenschutzbeauftragte eine entsprechend passende Qualifikation nachweisen kann (Artikel 37 Abs. 5 DSGV). Sofern kein Datenschutzbeauftragter benannt werden muss sollte diese Begründung ebenfalls vorbereitet werden.

Datenschutzhandbuch

In diesem sind wesentliche Regeln zum Datenschutz für alle Mitarbeiter hinterlegt. Dieses Handbuch kann aber auch aus Teildokumenten bestehen z.B. die Datenschutzleitlinie, die Datenschutzorganisation und Datenschutzrichtlinien.

Verfahren zum Datenschutz

Hier sollten alle Verfahren dokumentiert sein, die sich aus den Artikeln 15 ff, den Meldepflichten bei Datenschutzvorfällen nach Artikel 33 DSGVO und Artikel 34 DSGVO sowie der Datenschutzfolgeabschätzung nach Artikel 35 ergeben.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis ist eines der besten Dokumente, um eine Übersicht über den Datenschutz in einem Unternehmen zu erhalten. In diesem sind auch die technischen und organisatorischen Maßnahmen aufgeführt, die für die Verarbeitungen individuell oder grundsätzlich gelten. Wenn diese in einem eigenständigen Dokument gepflegt werden gehört dies immer zu dem Verarbeitungsverzeichnis. Sofern Sie Auftragsverarbeiter sind denken Sie bitte an das separat zu führende Verzeichnis nach Artikel 30 Abs. 2 DSGVO.

Einwilligungen

Sofern Einwilligungen für die Verarbeitung von Daten die Rechtsgrundlage bilden, dann sollten Sie wissen, wo diese Einwilligungen im Bedarfsfall verwahrt werden. Wichtig ist auf jeden Fall, dass Sie die Einwilligungen mindestens als Muster-Formulare der Aufsichtsbehörde bei Bedarf zur Verfügung stellen könnten.

AV-Verträge

Hier spielt erst einmal eine Rolle, ob ein AV-Vertrag abgeschlossen wurde. Deshalb empfehlen wir, im Verarbeitungsverzeichnis direkt auf Dienstleister und AV-Vertrag zu referenzieren. Bei Bedarf müssen auch diese der Aufsichtsbehörde vorgelegt werden, so dass es sehr sinnvoll ist, diese in einer eigenen Vertragsverwaltung zu archivieren.

Sensibilisierung / Schulungen Mitarbeiter

 Es empfiehlt sich, Nachweise über Schulungen der Mitarbeiter, eine Verpflichtung auf Artikel 5 DSGVO im Arbeitsvertrag, verteilte Informationsbroschüren etc. vorzuhalten. Hier kann man Anleihen z.B. an der Dokumentation von Sicherheitsunterweisungen machen.

Weitere Dokumente

Ebenfalls hilfreich ist das Aufbewahren von folgenden Informationen zur Erfüllung der Rechenschaftspflicht:

  • Tätigkeitsbericht des Datenschutzbeauftragten
  • Prüfergebnis für eine Verarbeitung nach Artikel 6 lit. f DSGVO
  • Dokumentierte Liste aller Fälle über die Ausübung von Betroffenenrechten
  • Sicherheitsvorfälle
  • Dokumentation eines Informationssicherheitssystems
  • Audits

Bei Änderungen von Dokumenten ist es ebenfalls hilfreich, Versionsnummern zu verwenden und in einer Versionshistorie die Änderungen festzuhalten. So kann man die nach Artikel 32 Abs. 1 lit. d) DSGVO geforderte ständige Verbesserung ebenfalls einfach nachweisen.

Benötigen Sie bei der Umsetzung der DSGVO Anforderungen Unterstützung, dann überlegen wir mit Ihnen eine sinnvolle Lösung. Sprechen Sie uns einfach an.

Hilfreiches Datenschutz-Audit

/in , , ,

Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.

Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.

Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.

Unvollständige Umsetzung

Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.

  • So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
  • Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
  • Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.

Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind  neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.

Datenschutz-Audit für Transparenz

Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.

Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.

Mit einem solchen Auditbericht können Sie

  • als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
  • den internen oder externen DSB durch systematische Informationen unterstützen,
  • die Umsetzung von Maßnahmen besser einschätzen,
  • die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.

Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.

Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.

Bußgelder nach der DSGVO

/in , ,

Die DSGVO bietet nach Artikel 83 die Möglichkeit, Bußgelder bis zu 20. 000. 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen. Dieses publikumswirksame Schreckensszenario wurde in den letzten zwei Jahren pressewirksam vermarktet.

Insbesondere klein- und mittelständische Unternehmen sahen sich nach den vielen Veröffentlichungen einem existenzgefährdendem Risiko ausgesetzt.

Wie sieht es jetzt in der Praxis aus?

Der folgende Artikel des Heise Verlags, der im Mai veröffentlicht wurde weist auf ca. 75 Bußgeldverfahren in Deutschland hin.Dabei wurden die Aufsichtsbehörden aktiv befragt, zwei Bundesländer wollten hierzu keine Angaben machen. Das Handelsblatt weist auf ca. 70 Bußgelder bis Mai 2019 hin.

Während die Bußgelder in Deutschland vergleichsweise gering ausfallen, werden in anderen Ländern hingegen deutlich höhere Bußgelder verhängt. So wird im folgenden Artikel über das 50 Mio. Euro Bußgeld der französischen Aufsichtsbehörde gegenüber Google vom Januar 2019 berichtet. Und bereits im Oktober 2018 wurde z.B. durch die FAZ von dem gegen ein protugisisches Krankenhaus verhängte hohe Bußgeld berichtet.

Eine weitere Quelle für verhängte Bußgelder, die recht aktuell ist, findet man auf der Seite von Data Agenda. Und der „GDPR Enforcement Tracker“ von CMS versucht, eine Liste aller bekanntgewordenen Bußgelder aktuell zu halten.

Erstaunlicherweise gibt es hierzu kaum konsolidierte Veröffentlichungen von den deutschen Aufsichtsbehörden. Es ist nicht ganz klar, warum die deutschen Aufsichtsbehörden nur so spärlich Informationen zu verhängten Bußgeldern publizieren, denn Abschreckung wäre doch die beste Motivation zur Umsetzung.

Mehr Transparenz ist erforderlich

Stattdessen schwanken Betroffene und Unternehmen weiter zwischen „das muss man doch alles nicht so ernst nehmen“ und wirtschaftlicher Panik. Die deutschen Aufsichtsbehörden würden das Ziel der EU-Richtlinie und insbesondere deren Akzeptanz deutlich erhöhen, wenn sie hier mehr veröffentlichen würden. Dabei geht es nicht um den Namen des Unternehmens, sondern um den Anwendungsfall und die verhängte Bußgeldhöhe durch die jeweilige Aufsichtsbehörde.

Ebenso unbekannt ist, wieviele der Verfahren tatsächlich nach rechtlicher Klärung zum Erfolg geführt haben.

Interessant wäre auch, wieviele Meldungen von Unternehmen durch die verschärften Meldepflichten an die Aufsichtsbehörden eingegangen sind oder in welcher Anzahl Betroffene Meldung bei der Aufsichtsbehörde der Länder zu vermeintlichen Datenschutzverstößen machen.

Die überschaubaren Information suggerieren teilweise den Eindruck, als wäre die lasche Anwendung der DSGVO mit minimalem Aufwand für den Verantwortlichen die günstigere Variante, unter Berücksichtigung des unternehmerischen Risikos.

Wir sind allerdings der Überzeugung, dass mehr passiert als tatsächlich kundgetan wird, so dass wir davon abraten, dass Thema auf die leichte Schulter zu nehmen.

Fotos auf Firmenveranstaltungen und die DSGVO

/in ,

Fotos auf  Firmenveranstaltungen und deren anschließende Verarbeitung und  Nutzung sind ein eine komplexe Angelegenheit mit vielen Fallstricke. Wir ignorieren hier die reinen Privataufnahmen und betrachten nur die Aufnahmen, die aus einem Interesse des Unternehmens (Verantwortlicher) weiterverwendet werden sollen. Anwendungsfälle können Veröffentlichungen auf Facebook, Instagram, der eigenen Webseite aber auch in Firmenbroschüren sein.

Welche Gesetze gelten denn hier überhaupt?

Aus unserer Erfahrung gibt keine einheitliche Vorgehensweise, um das Thema absolut rechtssicher zu gestalten. Hierzu gehören neben der Frage nach den Teilnehmern einer solchen Veranstaltung auch z.B. der Zweck der späteren Verwendung der Fotos. Bitte beachten Sie immer, dass insbesondere bei Aufnahmen von Kindern und Jugendlichen unter 16 Jahren besondere Regeln z.B. nach der DSGVO zu beachten sind. Gesetzesgrundlagen für diesen Anwendungsbereich sind u.a. in der DSGVO und im Kunsturhebergesetz zu finden. Und wenn es sich um Mitarbeiterfotos handelt dann gilt hier auch §26 BDSG neu.

Die schriftliche Einwilligung als Musterweg

Das Ergebnis vieler Veröffentlichungen ist immer wieder, dass bedingt durch Informations- und Nachweispflichten der DSGVO die schriftliche Einwilligung eine der sicheren Alternativen darstellt,

Denken Sie bei einer Einwilligungserklärung immer daran, dass

  • der Zweck der Aufnahmen,
  • die Verwendung / Verarbeitung der Aufnahmen,
  • die Widerspruchsmöglichkeit und der Ansprechpartner hierfür

in der Einwilligung aufgeführt werden.

Alternativen der Einwilligung sind möglich

Ob diese Vorgehensweise der schriftlichen Einwilligung immer praktikabel ist, kann in Frage gestellt werden. So ist nach  Artikel 6. Abs. 1 lit. a DSGVO eine schriftliche Einwilligung nicht vorgeschrieben.

Damit könnte das persönliche und bewusste Zurschaustellen für eine Fotoaufnahme durchaus als aktive Einwilligung betrachtet werden (konkludente Einwilligung). Dies müsste allerdings nach pro Foto bewertet werden.

Ob ein besonderes Interesse nach  Artikel 6, Abs 1 lit. f DSGVO geltend gemacht werden kann, obliegt immer der Einzelfallprüfung und insbesondere der Betrachtung, ob das Recht eines Betroffenen unnötige tangiert wird. Es ist anzunehmen,  dass es nur wenige Fälle gibt, in denen hierauf ein belastbarer Bezug genommen werden kann.

Eher wäre noch denkbar, dass im Rahmen eines Vertragsverhältnisses nach Artikel 6, Abs. 1 lit. b DSGVO eine Bezugnahme zu einer Fotoaufnahme hergestellt werden könnte. Allerdings bezieht sich das nicht auf Mitarbeiter sondern nur auf Vertragsverhältnisses mit z.B. Kunden, Lieferanten, etc.

Informationspflicht und Rechenschaftspflicht

Um den Informationspflichten nach Artikel 7 DSGVO nachzukommen werden an einigen Veranstaltungsorten tatsächlich schriftliche Listen mit der Bitte um Eintragung ausgelegt. Ob die Dokumentation der Kenntnisnahme bei einer größeren Menschenmenge vollständig gelingt ist  in Zweifel zu ziehen. Alternativ kann bei Veranstaltungen beobachtet werden, dass sie mit der Einladung bereits datenschutzrechtliche Informationen zu Fotoaufnahmen verschicken oder bei Eingängen zu Veranstaltungen durch entsprechende Hinweistafeln auf diese hingewiesen wird. Offen bleibt im Einzelfall, ob dies für einen Nachweis ausreicht.

Damit bleibt i.d.R. der Nachweis dieser Vorgehensweise als größte zu erfüllende Hürde, um die Rechenschaftspflicht der DSGVO erfüllen zu können. Auch muss vom Unternehmen entschieden werden, ob Personen, die nicht fotografiert werden wollen, solchen Veranstaltungen optional fernbleiben müssten.

Verschiedene gehaltvolle Links zu diesem Thema

Da das Thema schnell in eine umfangreiche Detailbetrachtung des Anwendungsfalls abdriftet,  haben wir einige interessantes Artikel zusammengesucht, in denen das Thema unterschiedlich betrachtet wird. Hieraus lassen sich für verschiedene Anwendungsfälle Hinweise für eine eigene firmenspezifische Umsetzung herausziehen.

https://www.ra-plutte.de/faq-recht-am-eigenen-bild-beispiele/#personenbezogene-daten

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Wirtschaft/Inhalt/Fotografien-ausserhalb-des-Journalismus/Bewertung-Fotografien-ausserhalb-Journalismus.pdf

https://www.baden-wuerttemberg.datenschutz.de/faq-fotografieren-und-datenschutz-wir-sind-im-bild/

https://www.lda.bayern.de/media/FAQ_Bilder_und_Verein.pdf

Informationssicherheit ist Voraussetzung für Datenschutz

/in , ,

Bei der Herstellung der Datenschutzkonformität in einem Unternehmen kommen wir spätestens beim Thema technische und organisatorische Maßnahmen auf das Thema Informationssicherheit zu sprechen.

Und spätestens hier tun sich in den meisten Fällen unterschiedlichste  Abgründe auf. Denn die Rechenschaftspflicht der DSGVO gilt ja auch für den Nachweis der getroffenen Maßnahmen im Bereich Informationssicherheit.

Die Praxis

Erst einmal muss allen erklärt werden, dass es hier ja plötzlich gar nicht mehr nur um die personenbezogenen Daten sondern vielleicht auch die Geschäftsgeheimnisse des Unternehmens geht. Das ist dann manchmal von Vorteil, da aus Unternehmenssicht Geschäftsgeheimnisse doch viel schützenswerter als andere Daten sind?

Naja beim Nachweis wird es dann schwierig. I.d.R. wird bei fast allem Unternehmen sofort auf die IT verwiesen.

Die IT führt dann die im System nach 3 Monaten aufgeführte Pflicht zum Passwortwechsel des 8- stelligen Passwortes auf, dass mindestens aus einem Groß-/Kleinbuchstaben und einem numerischen Zeichen besteht.  Na gut, für wichtige Personen ist diese Zwangswechsel schon mal deaktiviert, weil die sich nicht pausenlos ein neues Passwort ausdenken können.

Natürlich muss sich jeder Benutzer mit Accountnamen und Passwort anmelden. Und der Zugriff ist insbesondere auf Fileservern differenziert. Ok, es gibt auch hier Nutzer, die dürfen auf alles zugreifen. Und darüberhinaus gibt es eine unbekannte Zahl von Systemaccounts mit dem Passwort von vor 5 Jahren, die irgendwo genutzt werden. Und die Admins haben natürlich zwei Accounts, arbeiten aber immer mit dem Sysadmin-Account, weil das viel einfacher ist. Ob man das ein Zugangskonzept nennen und darauf verweisen kann stellen wir in Frage.

Ach ja, die Deaktivierung von Nutzern beim Austritt ist auch geregelt. Aber manchmal erst dann, wenn die Personalabteilung nach zwei Monaten die neue Mitarbeiterliste der IT zur Verfügung gestellt hat.

Und wenn es um vorhandene Richtlinien geht dann wird auch schon mal die in 2006 mit dem Betriebsrat abgeschlossene Betriebsvereinbarung zur privaten Nutzung von Email und Internet ausgepackt. Damals war der Blackberry noch das Statussymbol.

Lange Rede kurzer Sinn, ohne ein sauberes Informationssicherheitskonzept ist vorprogrammiert, dass Datenschutz nicht erreicht werden kann und ein Unternehmen auch sonst einige offene Flanken hat.

Informationssicherheit mit Datenschutz umsetzen

Deswegen lautet meine Empfehlung grundsätzlich: Organisiert auch die Informationssicherheit sofort mit der Umsetzung des Datenschutzes, denn dann spart man Doppelarbeit und reduziert insgesamt die Risiken.

Der erste Schritt ist die Besetzung der Rolle des Informationssicherheitsbeauftragten, anschließend erfolgt die Auswahl einer passenden Norm für das Unternehmen.

Keine Sorge, hier muss nicht immer die ISO 270001 nach Lehrbuch umgesetzt werden. Wichtig ist zu identifizieren, welche Bausteine für das Unternehmen passend sind und wie diese praktikabel eingeführt werden können. Es bieten sich aus unserer Sicht insbesondere die VdS 10000 an (Vorgänge VdS 3473). Auch der BSI Grundschutz ist ganz gut verwendbar, wenn man die Behördensicht etwas verlässt.

Voraussetzung ist aber, dass die IT-Abteilung dieses Thema als ihr Eigenes betrachtet und entsprechenden Aufwand in die ungeliebte Dokumentation von Systemen, Anwendungen, Risiken, etc. im passenden Maße akzeptiert.

Übrigens gibt es in der c‘t 6/2019 einen interessanten Artikel zum Thema „Hacking: Wann haften Admins und Dienstleister“, der die bestehende Gefahr des Nichthandelns aufgreift.

Gerne unterstützen wir Ihr Unternehmen, diese Themen zu erkennen und mit angemessenem Aufwand in eine praktikable Umsetzung zu überführen.

Rechenschaftspflicht auch für Datenschutzbeauftragten

/in , , ,

Bei der ganzen Dokumentation aufgrund der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO wird häufig vergessen, dass auch der Datenschutzbeauftragte der Rechenschaftspflicht unterliegt.

Inhalt der Rechenschaftspflicht

Als Referenz für die Rechenschaftspflicht kann mindestens der in Artikel 39 DSGVO aufgeführte Aufgabenbereich des Datenschutzbeauftragten herangezogen werden.  Dazu gehören (in Kurzform)

  • Die Unterrichtung und Beratung des Verantwortlichen
  • Überwachung der Einhaltung inkl. Sensibilisierung
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Tätigkeitsbericht des DSB

Es empfiehlt sich also bei all diesen Punkten zu hinterlegen, wann welcher Fall aufgetreten ist und wie er seitens des DSB behandelt wurde. Dies bekommt insbesondere dann eine Bedeutung, wenn aufgrund von juristischen Unklarheiten Anwälte und Gerichte eingeschaltet werden müssen.

Dazu bietet sich die Archivierung der Email-Kommunikation ebenso an, wie Notizen oder Gesprächsprotokolle z.B. in einem DMS-System mandantenbezogen zu hinterlegen.

Als Einstieg empfiehlt sich, einen Tätigkeitsbericht als DSB jährlich (im ersten Quartal des Folgejahres) zu erstellen, in dem die o.a. Pflichten durch erfolgte Aktivitäten zusammengefasst dokumentiert werden. In diesem kann man dann auch nochmal konkrete Hinweise über besondere Risiken, etc. dem Verantwortlichen gegenüber artikulieren.