Datenschutzerklärung ständig aktualisieren

Mittlerweile hat jeder eine Datenschutzerklärung auf seiner Webseite. Dabei wird diese lästige Aufgaben meist einmalig erledigt, die Datenschutzerklärung (hoffentlich) mit einem juristisch fundierten Generator erzeugt und dann gespeichert. Aus der Erfahrung wird diese Datenschutzerklärung aber nie wieder angepackt. Dies stellt ein hohes Risiko für das Unternehmen dar. Daher ist es wichtig, die Datenschutzerklärung ständig zu aktualisieren.

Verweise auf Datenschutzerklärung

Es reicht i.d.R. für ein Unternehmen aus, eine Datenschutzerklärung für alle Anwendungsfälle zu erstellen, auf die dann verwiesen wird. D.h. alle datenschutzrechtlichen Hinweise werden in einem Dokument gebündelt, auf das im Bedarfsfall referenziert werden kann. Diese Verweise finden z.B. bei folgenden Anwendungsfällen eine Verwendung:

  • Webseite
  • Kontaktformular
  • EMail-Footer
  • Soziale Medien (Facebook, Instagram, .etc).
  • Hinweisschilder bzgl. Videoüberwachung
  • Bewerberinformationen
  • Schriftstücke
  • usw.

Anpassungen zwingend

Es ist vollkomen klar, dass bei der Menge an Quellen, die auf die Datenschutzerklärung verweisen, permanente Änderungen erforderlich sind. Dies liegt an einer  Vielzahl an Anwendungsfällen mit unterschiedlichen rechtlichen Rahmenbedingungen, die permanente Rechtsprechung (Urteile), Gesetzesanpassungen oder auch ein neuer Software-/Tooleinsatz im Unternehmen.

Hierzu ermpfehlen wir folgende Vorgehensweisen:

  • Sobald eine neue Verarbeitung im Verarbeitungsverezeichnis aufgenommen werden soll, wird die Datenschutzerklärung auf Ergänzungsnotwendigkeiten geprüft und bei Bedarf angepasst.
  • Bei der Ergänzung von Medienkanälen (soziale Medien, Newsletter, etc.), geplanten Messeauftritten, Veranstaltungen, etc. wird ebenfalls geprüft, ob hier eine Verarbeitung vorliegt, die im Verarbeitungsverzeichnis ergänzt und anschließend auch in der Datenschutzerklärung erwähnt werden sollte.
  • Bei allgemeingültigen Urteilen zum Datenschutz sollte anschließend sofort die Anpassungsnotwendigkeit der Datenschutzerklärung geprüft werden. In den letzten 12 Monaten gehörten hierzu die Cookie-Urteile sowie die Unwirksamkeit des Privacy Shield Abkommens. Die Hinweise hierzu erhalten Sie durch den jeweiligen Landesdatenschutzbeauftragten, den Datenschutzbeauftragten und / oder Presseveröffentlichungen.

Wir empfehlen darüber hinaus, jährlich einen der bekannten Datenschutzgeneratoren anzuwerfen und sich die Änderungen des Ergebnisses im Vergelich zur genutzten Datenschutzerklärung anzuschauen. Auch hier gibt es zum Teil kleinste Details, die sich geändert haben könnten.

Letztendlich geht es immer darum, dass die Rechenschaftspflicht und die ständige Verbesserungen nach Artikel 5 und Artikel 32 der DSGVO erfüllt werden.

Videoüberwachung – Tipps für den Einsatz

Mit der stetigen Zunahme von Kameraangeboten und dem Preisverfall steigt der Einsatz von Videoüberwachung in Unternehmen. Dabei soll die Videoüberwachung zum einen der Abschreckung dienen, unterstützt in der Realität aber auch den Versuch, bei einem Schaden einen möglichen Verursacher zu identifizieren oder Beweise zu sichern.

Bei einem geplanten Einsatz muss jedem Unternehmer klar sein, dass der Einsatz auch grundlegenden datenschutzrechtlichen Regelungen unterliegt, sofern personenbezogene Aufnahmen nicht ausgeschlossen werden können.

Verstöße gegen diese Reglungen haben in den letzten Monaten wieder zu umfangreichen Bußgeldern geführt. Deswegen anbei ein paar Erinnerung an Regeln, die für einen Einsatz beachtet werden sollten.

Rechtsgrundlage und Zweck der Videoüberwachung

Wenn der Zweck der Überwachung die Vermeidung von Straftaten durch unbefugten Dritten auf dem Grundstück insbesondere der Schutz des Firmeneigentum ist, kann natürlich für die Verarbeitung der Daten nicht auf eine Zustimmung der Betroffenen gehofft werden. Hier ist die Rechtsgrundlage somit Artikel 6 lit. f DSGVO die Grundlage, die sich auf das berechtigte Interesse des Verantwortlichen bezieht. Aber Vorsicht, mit dem Verweis auf diese Rechtgrundlage ist das Unternehmen verpflichtet zu prüfen, ob und wie eine Überwachung ein schutzwürdiges Interesse eines Betroffenen beeinträchtigen könnte. Nicht zulässig ist übrigens die Überwachung von Mitarbeitern mit der Berufung auf diese Rechtsgrundlage. Daher sollte auch vermieden werden, diesen Eindruck durch eine in diesem Sinn ungeeignete Aufstellung von Überwachungstechnik zu erzeugen (z.B. überwachter Raucherbereich auf dem Gelände).

Achtung: Tonaufnahmen sind gesondert zu behandeln und gehören nicht automatisch zur Videoüberwachung. Nach §201 Strafgesetzbuch ist das unbefugte Abhören des vertraulichen Wortes strafbar. Hier gilt darüber hinaus auch die Gesetzgebung des Bundes und der Länder.

Die beabsichtigte oder unbeabsichtigte Überwachung von Mitarbeitern ist über die genannte Rechtgrundlage natürlich nicht möglich.

Nur eigenes Gelände überwachen

Die installierten Videokameras dürfen nur das eigene Gelände überwachen, weder den öffentlichen Raum noch das Gelände der Nachbarn. Somit ist darauf zu achten, dass andere Bereiche ausgenommen oder unkenntlich gemacht werden (gute System unterstützen diese Anforderungen).

Auf Videoüberwachung hinweisen

Nach Artikel 13 DSGVO ist ein Unternehmen verpflichtet, auf eine rechtmäßige Verarbeitung von personenbezogenen Daten hinzuweisen. Nach Artikel 12 DSGVO muss dies Transparent für den Betroffenen erfolgen, so dass er seine Rechte unmittelbar ausüben kann.

Auf dem Gelände sollte daher als erstes ein gut sichtbar ein Hinweis auf eine Videoüberwachung befinden. Hierzu gibt es auch Piktogramme, die bildlich auf diese Verarbeitung hinweisen.

Zweitens muss den Informationspflichten genüge getan werden. Hierzu gehört nach Artikel 13 Ansatz 1 DSGVO u.a. die Angabe des Zweckes, des Verantwortlichen mit den Kontaktdaten, Rechtgrundlage, und mögliche Empfänger. Idealerwiese kann man diese Informationen auf einem Ausdruck auf der Innenseite einer Eingangstür platzieren.

Die meisten Datenschutzbehörden liefern hierzu Vorlagen (z.B. die Vorlage der Landesbeauftragten für Datenschutz in Niedersachsen).

Aufbewahrungszeit von Videoaufnahmen

Die Videoüberwachung verfolgt neben der Abschreckung häufig den Zweck, bei einem möglichen Schaden den Verursacher identifizieren zu können. Sobald aber der Zweck der Verarbeitung nicht mehr gegeben ist, müssen nach der DSGVO die personenbezogenen Daten gelöscht werden.

Hieraus ergibt sich die Verpflichtung des Unternehmens, so schnell wie möglich festzustellen, ob z.B. ein Schaden aufgetreten ist, der die Sichtung von Videoaufnahmen zur Beweissicherung oder Täteridentifikation notwendig erscheinen lässt.

Aus der Praxis hat sich mittlerweile herauskristallisiert, dass ein Zeitraum von 48 bis max. 72 Stunden für eine Prüfung (Verarbeitung) als ausreichend angesehen wird. Dabei wird davon ausgegangen, dass ein maximaler Zeitraum insbesondere für Wochenenden oder Feiertagen erforderlich sein kann. Es ist trotzdem möglich, dass eine solche Frist nicht ausreicht, so dass es im Einzelfall auch spezifische zu begründende längere Prüfzeiträume geben kann. Wichtig ist, dass eine Prüfung unverzüglich stattfindet.

Zeitnahes Löschen von Aufnahmen

Wenn gar nichts passiert ist, dann müssen die Videoaufnahmen auf denen Personen zu erkennen oder identifizierbar sind unverzüglich gelöscht werden. Ist z.B. ein Einruch oder eine Sachbeschädigung passiert, dann ist zu prüfen, welche Aufnahmen zur Erfüllung des Verarbeitungszweckes erforderlich sind.

Alle anderen personenbezogenen Aufnahmen sollten unverzüglich gelöscht werden. Sofern eine Einschaltung von Behörden (Polizei, etc.) erfolgt, sollte mit diesen Rücksprache gehalten werden.

Rechenschaftspflicht

Selbstverständlich ist die Videoüberwachung als Verarbeitung mit allen Pflichtangaben im Verarbeitungsverzeichnis zu führen.

Mit einem Verweis auf Artikel 6 lit. f DSGVO ist es ebenfalls erforderlich, die Interessen von Betroffenen und Unternehmen gegeneinander abzuwägen. Diese Abwägung sollte mit dem Ergebnis schriftlich dokumentiert und kann als Anhang zum Verarbeitungsverzeichnis hinterlegt werden.

Werden Aufnahmen länger aufbewahrt ist auf jeden Fall schriftlich festzuhalten, warum dies erfolgt. Die oben genannte Rechtsgrundlage ist dabei nicht beliebig ausdehnbar.

Videoconferencing

Vorsicht Videoconferencing?

Die Corona Krise bringt neben den Kontaktverboten auch Videoconferencing auf den Weg in den normalen Arbeitsalltag. So haben viele Firmen festgestellt, dass Sie für ein Arbeiten außerhalb der eigenen Räume technisch nicht aufgestellt sind. Hierdurch wird natürlich das Thema Digitalisierung vorangetrieben. Analoges gilt für das Thema Schulungen, bei denen aktuell die Online-Kursangebote einen großen Zulauf erhalten. Nachteilig ist, dass momentan einige Regelungen unter dem Gesichtspunkt der Notsituation einfach ignoriert werden und dazu gehören der Datenschutz und die IT-Sicherheit. Aus den Erfahrungen der letzten Wochen habe ich einige Punkte zusammengetragen, die ich in diesem Kontext gerne weitergeben möchte.

ZOOM

Ein wesentliches Thema in diesem Kontext sind die Conferencing Systeme, die jetzt von Firmen genutzt werden sollen. Dabei sticht aktuell das System Zoom immer wieder heraus, ist es doch augenscheinlich einfach, kostenlos und bis zu gleichzeitig 100 Teilnehmern nutzbar. Zoom ist Teil von Privacy Shield und bietet einen AV-Vertrag an. Damit erfüllt Zoom die Anforderungen der DSGVO. Rechtsgrundlage hier ist i.d.R. Artikel 6 lit b. DSGVO. Dennoch häufen sich die Hinweise auf eklatante Sicherheits- und Datenschutzprobleme. Um hier nicht wieder alle Punkte aufzuführen verweise ich auf ein paar Artikel, die unter den folgenden Links zu finden sind.

April Beitrag von Computerbild

April Beitrag von B24 zur Reaktion von Zoom auf die Vorwürfe

April Beitrag Sueddeutsche

April Beitrag Vice Magazin

Die Entscheidung, ob Zoom mit den aktuell gefundenen Sicherheitslücken ideal ist muss jeder selber entscheiden. Möglicherweise sollte aber die Nachbesserungen von Zoom erst umgesetzt und kritisch getestet werden, bevor ein Einsatz in Unternehmen erfolgt.

Cisco Webex und Microsoft Teams

Welche Alternativen gibt es denn für Firmenkunden. Auch hier ist eine Vielzahl von Lösungen auf dem Markt erhältlich. Mir begegenen immer wieder zwei primäre Lösungen und dies ist Cisco Webex und Microsoft Teams. Beide sind Privacy Shield zertifiziert, Cisco bietet ebenfalls den AV-Vertrag mit den Standarddatenschutzklauseln an. Insbesondere momentan bieten beide Anbieter mit ihren wohlkerprobten Angeboten auch preislich Alternativen zu freien Systemen wie z.B. ZOOM an.

Beitrag Magazin LANline zu Webex und MS Teams

Weitere Anbieter

Eine Vielzahl von Anbietern tummeln sich auf dem Markt. Unabhänging von Datenschutz und Informationssicherheit unterscheiden sich viele Systeme in der Anzahl der gleichzeit performant nutzbaren Verbindung, der Übertragungsqualität, der einfachen Bedienbarkeit und natürlich bei den Kosten. Zum Datenschutz verweise ich hier auf die gute Übersicht von Dr. Schwenke unter folgendem Link:

Dr. Schwenke: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

Verhalten in einer Konferenz

Erst einmal ist es wichtig im Falle des Einsatzes einer Videoconferencing Software nicht zu vergessen, das Verfahrensverzeichnis zu aktualisieren sowie einen AV-Vertrag abzuschließen. Darüber hinaus haben sich ein paar Verhaltensregeln bewährt, die das Thema Datenschutz (insbesondere auch den Schutz der Privatsspäre) unterstützen:

  • Nutzen Sie die Möglichkeit, den Hintergrund auszublenden oder weich (unscharf) zeichnen zu lassen (Blur Effekt).
  • Sofern nur das private Wohnzimmer als Arbeitsplatz zur Verfügung steht, sollte von einer Videoübertragung abgesehen werden, wenn andere Familienmitglieder unfreiwillig durchs Bild laufen.
  • Wenn man aktiv nicht redet sollte das Mikrofon auf stumm gestellt werden, um zu vermeiden, dass sämtliche Gespräche mit anderen Bewohnern, das Klingeln des Postboten oder der Ruf zum Mittagessen, allen Teilnehmern offeriert wird.
  • Lassen Sie keine vertraulichen Unterlagen im sichbaren Videobereich liegen. Insgesamt sollte das Bild primär auf das Gesicht fokussiert werden. Einige Kameras erledigen das sogar automatisch.
  • Sofern Sie Moderator sind öffenen Sie auf Ihrem Rechner nur die Programme, die für die Konferenz wesentlich sind. Peinlich und kritisch ist, wenn Sie versehentlich Bildschirminhalte teilen, die nicht für andere bestimmt sind.
  • Führen Sie parallel keine Telefonate ohne zu prüfen, ob die Mikrofonfunktion und die Videoübertragung ausgeschaltet sind (generell sollten Sie sich nur auf die Konferenz fokussieren).
  • Melden Sie sich beim Eintreten in eine Konferenz mit Ihrem Namen und begrüßen die anderen Teilnehmer. Prüfen Sie in der Teilnehmerliste online, ob Sie die dort angegeben Namen kennen und seien Sie in Ihren Äußerungen zurückhaltend, wenn Sie nicht sicher sind, wer tatsächlich teilnimmt. Deshalb empfehlen wir auch, sich in einer Conferencing Session mit ihrem  Namen anzumelden.
Datenschutzschulungen

Datenschutzschulung als Pflicht

Als Berater erhalten wir viele Einblicke in Unternehmen und die teils unterschiedlichen Vorgehensweisen zum Thema Datenschutz und Informationssicherheit.

Interessanterweise sind immer wieder die folgenden Punkte zum Datenschutz und der Informationssicherheit zu finden:

  • Hohe Unkenntnis der Geschäftsführung über die rechtlichen Verpflichtungen
  • Umfangreiches Halb- oder Nichtwissen der Mitarbeiter
  • Ein Ausblenden von organisatorischen Maßnahmen insbesondere in IT-Abteilungen sowie den rechtlichen Risiken, denen z.B. Administratoren aus ausgesetzt ist

Zeit investieren, Risiko minimieren

Obwohl diese Themen durch Präsensschulungen abgedeckt und der Wissensstand drastisch erhöht werden könnte, wird seitens der Entscheider gerne darauf verzichtet. Dabei werden häufig die hohe Arbeitslast sowie der Zeitbedarf als Argument gegen Präsenzschulungen angeführt. Manche Unternehmen greifen hingegen auf externe Standardschulungen zurück und wundern sich anschließend, dass diese Themen für den Mitarbeiter nicht in den betrieblichen Ablauf übertragbar sind.

Da die Folgen des Nichtwissens immer größere Auswirkungen haben, regen wir grundsätzlich folgende Regeln für Datenschutz- und Informationssicherheitsschulungen an:

  • Verpflichtende Schulungen für alle Mitarbeiter
  • Thematisch fokussierte Schulungen für Geschäftsführung, IT-Abteilung, Personalabteilung und Vertrieb.
  • Präsenzschulung mit der Möglichkeit, Fragen zu stellen und Unternehmensbeispiele durchzugehen.
  • Dauer maximal 2 Stunden

Schulungsinhalte

Inhaltlich sollten die Schulungen auf die DSGVO, das BDSG sowie betrieblich genutzte Informationssicherheitsnormen referenzieren, allerdings keine juristischen Artikel und Paragraphenschlachten beinhalten. Aus der Erfahrung sind u.a. folgende Themen hilfreich für die unterschiedlichen Schulungsteilnehmer:

  • Was sind DSGVO und BDSG?
  • Abgrenzung Datenschutz und Informationssicherheit
  • Welche Rechtsgrundlagen müssen vorliegen?
  • Wie sehen korrekte Einwilligungen aus?
  • Verpflichtende Verfahren und Handlungsfristen
  • Was ist ein Auftragsverarbeitungsvertrag?
  • Was macht der Datenschutzbeauftragte?
  • An wen kann ich mich wenden und wo muss ich selber handeln?
  • Was sind Verarbeitungen und technisch organisatorische Maßnahmen?
  • Wie erfüllt man die Rechenschaftspflicht?
  • Welche einfachen Schutzmaßnahmen können getroffen werden?

Natürlich kann eine Vielzahl weiterer Themen je nach Teilnehmerkreis ergänzt werden. Hilfreich sind immer auch Themen, die Beispiele aus der täglichen Praxis einbeziehen. Daher sollte vor einer Schulung eine kurze Abstimmung z.B. mit dem für den Bereich verantwortlichen Leiter erfolgen, um hieraus Themen abzuleiten.

Sprechen Sie uns an, wenn Sie hier eine individuelle Schulung für Ihr Unternehmen benötigen.

Hilfreiches Datenschutz-Audit

Viele Unternehmen haben in den letzten Monaten externe oder interne Datenschutzbeauftragte benannt, da sie nach der DSGVO hierzu verpflichtet sind. Dabei ist die Erwartungshaltung der Unternehmer gegenüber dem Datenschutzbeauftragten sehr unterschiedlich.

Große Unternehmen sehen die Rolle des Datenschutzbeauftragten wie in der DSGVO beschrieben primär beratend.

Kleine Unternehmen sehe den Datenschutzbeauftragten zusätzlich als Umsetzer von Maßnahmen.

Unvollständige Umsetzung

Gemeinsam haben allerdings alle, dass die zeitlichen und personellen Ressourcen für die tatsächlichen Anforderungen selten ausreichen.

  • So werden externe DSBs gerne nur mit den absoluten Pflichtaufgaben betraut, um die externen Kosten gering zu halten. Beispielsweise wird der Aufwand für externe Schulungen der Mitarbeiter häufig eingespart.
  • Interne DSBs üben ihre Tätigkeit oft neben ihren sonstigen Tätigkeiten aus, so dass Zeit fehlt, um notwendige Maßnahmen identifizieren oder angehen zu können
  • Interne DSBs verfügen i.d.R. über einen theoretischen Kenntnisstand aus z.B. Schulungen, die für eine praktische Umsetzung nur rudimentär ausreichen. Im schlechtesten Fall gibt es neben einer Basisschulungen keine kontinuierlichen Weiterbildungsmöglichkeiten mehr.

Das Ergebnis sind i.d.R. nur unvollständig identifizierte Schwachstellen und empfohlene Maßnahmen. Ursache hierfür sind  neben dem oben genannten Zeitthema auch unvollständigen Analysen der Ist-Situation sowie unvollständig umgesetzte Pflichtmaßnahmen. Im schlimmsten Fall ergibt sich eine Anfragen von Aufsichtsbehörden aufgrund einfachster Fehler.

Datenschutz-Audit für Transparenz

Um diesen Risiken entgegenzutreten empfiehlt sich daher kontinuierlich, den Datenschutzstatus festzustellen zu lassen, und zwar von einem Dritten mit umfangreichen Fachkenntnissen. Dies sollte in Form eines Audits erfolgen, in dem ein Dritter notwendige Ist-Informationen aufnimmt und mit den Anforderungen der DSGVO abgleicht.

Der resultierende Auditbericht enthält neben der Zustandserfassung insbesondere einen Maßnahmenplan, der dem Unternehmen die aktuellen Risiken vor Augen führt und Lösungen vorschlägt.

Mit einem solchen Auditbericht können Sie

  • als Geschäftsführer eine Einschätzung Ihres Risikos als Verantwortliche erhalten, auch wenn Sie keinen Datenschutzbeauftragten haben,
  • den internen oder externen DSB durch systematische Informationen unterstützen,
  • die Umsetzung von Maßnahmen besser einschätzen,
  • die Lücken und Maßnahmen identifizieren, die Ihnen bisher unbekannt waren.

Der Aufwand für solche Audits ist überschaubar, der Mehrwert groß, insbesondere auch unter dem Gesichtspunkt, dass Sie dieses zum Nachweis Ihrer ständigen Verbesserung nach Artikel 32 Abs. 1 lit d. DSGVO verwenden können.

Sprechen Sie uns an, wenn wir als unabhängiger Dritter ein Datenschutz-Audit für Ihr Unternehmen durchführen sollen.

Informationssicherheit ist Voraussetzung für Datenschutz

Bei der Herstellung der Datenschutzkonformität in einem Unternehmen kommen wir spätestens beim Thema technische und organisatorische Maßnahmen auf das Thema Informationssicherheit zu sprechen.

Und spätestens hier tun sich in den meisten Fällen unterschiedlichste  Abgründe auf. Denn die Rechenschaftspflicht der DSGVO gilt ja auch für den Nachweis der getroffenen Maßnahmen im Bereich Informationssicherheit.

Die Praxis

Erst einmal muss allen erklärt werden, dass es hier ja plötzlich gar nicht mehr nur um die personenbezogenen Daten sondern vielleicht auch die Geschäftsgeheimnisse des Unternehmens geht. Das ist dann manchmal von Vorteil, da aus Unternehmenssicht Geschäftsgeheimnisse doch viel schützenswerter als andere Daten sind?

Naja beim Nachweis wird es dann schwierig. I.d.R. wird bei fast allem Unternehmen sofort auf die IT verwiesen.

Die IT führt dann die im System nach 3 Monaten aufgeführte Pflicht zum Passwortwechsel des 8- stelligen Passwortes auf, dass mindestens aus einem Groß-/Kleinbuchstaben und einem numerischen Zeichen besteht.  Na gut, für wichtige Personen ist diese Zwangswechsel schon mal deaktiviert, weil die sich nicht pausenlos ein neues Passwort ausdenken können.

Natürlich muss sich jeder Benutzer mit Accountnamen und Passwort anmelden. Und der Zugriff ist insbesondere auf Fileservern differenziert. Ok, es gibt auch hier Nutzer, die dürfen auf alles zugreifen. Und darüberhinaus gibt es eine unbekannte Zahl von Systemaccounts mit dem Passwort von vor 5 Jahren, die irgendwo genutzt werden. Und die Admins haben natürlich zwei Accounts, arbeiten aber immer mit dem Sysadmin-Account, weil das viel einfacher ist. Ob man das ein Zugangskonzept nennen und darauf verweisen kann stellen wir in Frage.

Ach ja, die Deaktivierung von Nutzern beim Austritt ist auch geregelt. Aber manchmal erst dann, wenn die Personalabteilung nach zwei Monaten die neue Mitarbeiterliste der IT zur Verfügung gestellt hat.

Und wenn es um vorhandene Richtlinien geht dann wird auch schon mal die in 2006 mit dem Betriebsrat abgeschlossene Betriebsvereinbarung zur privaten Nutzung von Email und Internet ausgepackt. Damals war der Blackberry noch das Statussymbol.

Lange Rede kurzer Sinn, ohne ein sauberes Informationssicherheitskonzept ist vorprogrammiert, dass Datenschutz nicht erreicht werden kann und ein Unternehmen auch sonst einige offene Flanken hat.

Informationssicherheit mit Datenschutz umsetzen

Deswegen lautet meine Empfehlung grundsätzlich: Organisiert auch die Informationssicherheit sofort mit der Umsetzung des Datenschutzes, denn dann spart man Doppelarbeit und reduziert insgesamt die Risiken.

Der erste Schritt ist die Besetzung der Rolle des Informationssicherheitsbeauftragten, anschließend erfolgt die Auswahl einer passenden Norm für das Unternehmen.

Keine Sorge, hier muss nicht immer die ISO 270001 nach Lehrbuch umgesetzt werden. Wichtig ist zu identifizieren, welche Bausteine für das Unternehmen passend sind und wie diese praktikabel eingeführt werden können. Es bieten sich aus unserer Sicht insbesondere die VdS 10000 an (Vorgänge VdS 3473). Auch der BSI Grundschutz ist ganz gut verwendbar, wenn man die Behördensicht etwas verlässt.

Voraussetzung ist aber, dass die IT-Abteilung dieses Thema als ihr Eigenes betrachtet und entsprechenden Aufwand in die ungeliebte Dokumentation von Systemen, Anwendungen, Risiken, etc. im passenden Maße akzeptiert.

Übrigens gibt es in der c‘t 6/2019 einen interessanten Artikel zum Thema „Hacking: Wann haften Admins und Dienstleister“, der die bestehende Gefahr des Nichthandelns aufgreift.

Gerne unterstützen wir Ihr Unternehmen, diese Themen zu erkennen und mit angemessenem Aufwand in eine praktikable Umsetzung zu überführen.

Rechenschaftspflicht auch für Datenschutzbeauftragten

Bei der ganzen Dokumentation aufgrund der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO wird häufig vergessen, dass auch der Datenschutzbeauftragte der Rechenschaftspflicht unterliegt.

Inhalt der Rechenschaftspflicht

Als Referenz für die Rechenschaftspflicht kann mindestens der in Artikel 39 DSGVO aufgeführte Aufgabenbereich des Datenschutzbeauftragten herangezogen werden.  Dazu gehören (in Kurzform)

  • Die Unterrichtung und Beratung des Verantwortlichen
  • Überwachung der Einhaltung inkl. Sensibilisierung
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

Tätigkeitsbericht des DSB

Es empfiehlt sich also bei all diesen Punkten zu hinterlegen, wann welcher Fall aufgetreten ist und wie er seitens des DSB behandelt wurde. Dies bekommt insbesondere dann eine Bedeutung, wenn aufgrund von juristischen Unklarheiten Anwälte und Gerichte eingeschaltet werden müssen.

Dazu bietet sich die Archivierung der Email-Kommunikation ebenso an, wie Notizen oder Gesprächsprotokolle z.B. in einem DMS-System mandantenbezogen zu hinterlegen.

Als Einstieg empfiehlt sich, einen Tätigkeitsbericht als DSB jährlich (im ersten Quartal des Folgejahres) zu erstellen, in dem die o.a. Pflichten durch erfolgte Aktivitäten zusammengefasst dokumentiert werden. In diesem kann man dann auch nochmal konkrete Hinweise über besondere Risiken, etc. dem Verantwortlichen gegenüber artikulieren.

Wer braucht einen Datenschutzkoordinator?

Die Suche nach externen Datenschutzbeauftragten ist aus meiner Erfahrung immer wieder mit einer falschen Erwartungshaltung bzgl. dessen Aufgaben verbunden. Insbesondere kleinere Unternehmen denken häufig, der externen Datenschutzbeauftragte würde die Compliance zur DSGVO herstellen und pflegen.

Der Datenschutzbeauftragte ist Berater

Dabei hat es mit der Einführung der DSGVO eine klare Abgrenzung der Tätigkeiten des Datenschutzbeauftragten gegeben, die z.B. die bisherige Unterstützung im operativen Bereich zur Pflege des Verarbeitungsverzeichnisses nicht mehr enthält. Die nach Artikel 39 DSGVO aufgeführten Aufgaben sind primär beratender und prüfender Natur.

Der Datenschutzbeauftragte behebt daher die von ihm identifizierten Risiken nicht selber, sondern macht Vorschläge für eine Umsetzung. Die Umsetzung obliegt in allen Punkten dem Verantwortlichen d.h. der Unternehmensleitung.

Würde der Datenschutzbeauftragte tatsächlich die von ihm gefundenen Sachverhalte operativ umsetzen, so würde dies im schlimmsten Fall im Widerspruch zu seinem Beratungs- und Prüfauftrag stehen, denn dann würde er sich ja selber prüfen.

Der Datenschutzkoordinator unterstützt die operative Umsetzung

Um das Thema sorgfältig anzugehen ist es daher sehr empfehlenswert, einen internen Datenschutzkoordinator zu benennen. Diese Rolle beinhaltet keine rechtlichen Hoheiten im Sinne der DSGVO oder des BDSG (neu), dient aber allen Mitarbeitern und dem Datenschutzbeauftragten als zentrales und operatives Bindeglied in der Kommunikation.

Diese Datenschutzkoordinator sollte auf der einen Seite alle Themen, die mit Datenschutz zu tun haben bündeln und bei Bedarf den Datenschutzbeauftragten hinzuziehen. Ebenso ist diese Rolle ideal geeignet, um sämtliche Aktivitäten des Unternehmens im Rahmen der Rechenschaftspflicht zu dokumentieren. Im Gegenzug kann diese Rolle dazu genutzt werden, operative Tätigkeiten, die sich aus einer Analyse und Beratung des Datenschutzbeauftragten ergeben umzusetzen.

Die Erfahrung zeigt, dass eine Umsetzung des Datenschutzes in einem Unternehmen deutlich besser funktioniert, wenn es neben einem externen Datenschutzbeauftragten mindestens auch einen internen Datenschutzkoordinator gibt.

Telearbeitsplatz und Datenschutz

In verschiedenen Unternehmen arbeiten Mitarbeiter Zuhause und erledigen dort die gleichen Tätigkeiten, die Sie sonst im Büro erledigen würden.

Dabei spielt eine wesentliche Rolle, ob es sich um einen offiziellen Telearbeitsplatz bzw. Heimarbeitsplatz handelt oder die ungeregelte Möglichkeit Arbeiten im „Homeoffice“ durch die Nutzung mobiler Zugänge zu erledigen (mobiles Arbeiten).

Warum ist das so entscheidend?

Im Falle einer Regelung und Einführung eines ständigen Telearbeitsplatzes gelten für diesen Arbeitsplatz automatisch alle Regeln wie für den Arbeitsplatz beim Arbeitgeber. Der Telearbeitsplatz wird i.d.R. vertraglich fest geregelt und beinhaltet dann auch häufig die Bereitstellung der Kommunikationsinfrastruktur (z.B. DSL-Anschluss, Telefon), der Hard- und Software sowie der Büroausstattung. Gesetzlich ist das alles in der Arbeitsstättenverordnung geregelt und es gelten beispielsweise dann auch die Vorgaben der Bildschirmarbeitsplatzverordnung. Um das Ganze kontrollieren zu können hat der Arbeitgeber das Recht (oder die Pflicht), den Arbeitsplatz zu besuchen und zu kontrollieren.

Gleichzeitig gelten auch alle Regeln des Betriebes für den Datenschutz und die Informationssicherheit am Arbeitsplatz. Sofern es aus den technisch- und organisatorischen Maßnahmen Anforderungen für den Arbeitsplatz im Unternehmen gibt, gelten diese auch für den Heimarbeitsplatz. So müsste möglicherweise der Arbeitsplatz eines Mitarbeiter der HR-Abteilung so gestaltet werden, dass kein Dritter (z.B. Familie) den Raum ohne Zutrittsberechtigung betreten kann.  Der Raum müsste bei Verlassen grundsätzlich abgeschlossen sein und dürfte nicht zusätzlich privat genutzt werden.

Das Ganze wird spätestens dann unangenehm, wenn ein Unternehmen als Auftragsverarbeiter für ein anderes Unternehmen tätig ist. Im Rahmen eines Auftragsverarbeitungsvertrages kann der Auftraggeber nämlich fordern, die technischen und organisatorischen Maßnahmen zu überprüfen. In diesem Fall könnte auch eine Prüfung bei dem Mitarbeiter mit Telearbeitsplatz möglich sein. Spätestens bei solchen Vereinbarungen sollten Sie als Unternehmen vorsichtig sein, ob Sie diese vertraglichen Verpflichtungen eingehen wollen und können.

Erst beraten lassen, dann Verpflichtungen eingehen!

Aus diesem kurzen Beispiel kann leicht abgeleitet werden, dass die Einrichtung eines festen Telearbeitsplatzes auch unter Gesichtspunkten des Datenschutzes eine Menge Anforderungen mit sich bringen kann, die insbesondere den Mitarbeiter vor einige Herausforderungen stellen könnte. Daher sollte so ein Service genau durchdacht und insbesondere durch eine saubere Aufklärung der Mitarbeiter sowie eine fundierten Vertragsgestaltung sowohl mit dem Mitarbeiter als auch einem Auftraggeber (AV-Vertrag) unterlegt werden.

Datenschutz durch Verschlüsselung

Viele Unternehmen müssen Daten mit ihren Kunden austauschen. Dazu gehören natürlich auch personenbezogene Daten. Je kleiner das Unternehmen ist, umso pragmatischer aber auch unsicherer fällt die Lösung aus. Dabei bietet die Verschlüsselung von Daten eine einfache Lösungsmöglichkeit.

Aus meiner Erfahrung werden die meisten Daten per Email ohne weiteren Schutz versendet. Ist dann eine durch den Server vorgegebene Email-Größe von 5 MB überschritten, wird auf ungeschützte USB-Sticks zurückgegriffen. Diese werden in manchen Fällen sogar per Post über einen günstigen Postdienst an den Empfänger versendet. Die praktizierten Lösungen sind vielfältig, in den meisten Fällen aber weder sicher noch datenschutzkonform. Dabei wird auch nicht zwischen dem Schutz personenbezogener Daten oder dem Schutz von Unternehmensdaten / Geschäftsgeheimnissen unterschieden.

Aufgrund der größer werdenden Datenmengen sind die mobilen Datenträger nach wie eine präferierte Lösung. Aber auch Clouddienste haben einen immer größere werdende Bedeutung beim Datenaustausch. So sind die öffentlichen Ordner von Dropbox in diversen Firmen eine parktizierte Lösung, obwohl die meisten Dropbox-Accounts gar nicht der Firma gehören.

Vermeiden sollte man grundsätzlich den ungeschützten Versand per Email oder die Bereitstellung von Daten über Cloudservices ohne separate Verschlüsselung.

Anbei eine kleine Auflistung von Möglichkeiten, um Daten möglichst sicher und damit auch datenschutzkonform austauschen zu können:

 

Medium Verschlüsselung (Option)
EMail Verschlüsselung der E-Mail durch S/MIME
Verschlüsselung der E-Mail durch PGP
Verpacken der Daten in einem verschlüsselten Archiv mit Dateinamenverschlüsselung (z.B. durch 7Zip)
Mobiler Datenträger (z.B. USB, externe HD) Nutzung einer Hardwareverschlüsselung (gibt es z.B. als Festplatten oder USB-Sticks)
Erstellen verschlüsselter Datenträger z.B. mit Veracrypt
Erstellen verschlüsselter Container z.B. mit Veracrypt
Verschlüsselung mit der MS Windows BitLocker
Cloud-Laufwerke Erstellung verschlüsselter Container z.B. mit Veracrypt
Verschlüsselung von Datenbereichen z.B. mit Boxcryptor
Bereitstellung eines eigenen Cloud-Servers mit Authentifizierung (und Verschlüsselung) zum Laden von Daten (z.B. mit NAS-Systemen von QNap oder Synology möglich).