Monatsarchiv März 2018

Vonacodis

Was bedeutet „Auftragsdatenverarbeitung“ im Zusammenhang mit Datenschutz?

Für Auftragsdatenverarbeiter, also für Unternehmen, die in ihren Räumen bzw. in ihrem Rechenzentrum (RZ) im Auftrag ihrer Kunden Daten verarbeiten, gelten gemäß Bundesdatenschutzgesetz (BDSG) klare Anforderungen für die Auftragsdatenverarbeitung:

§ 11 BDSG fordert, dass die Vertragspartner die Bedingungen, unter denen Datenverarbeitung an Dritte übertragen werden soll, deutlicher festlegen müssen, etwa wenn ein RZ für ein Unternehmen die Softwarebetreuung übernimmt.

Schriftlich müssen insbesondere die folgenden Punkte festgehalten werden:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber ist nun seinerseits ausdrücklich verpflichtet, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Er hat das Ergebnis dieser Überprüfung zu dokumentieren.

Die Nichteinhaltung dieser Anforderungen ist zukünftig Bußgeldbewehrt gem. § 43 Abs. 1 Nr. 2b BDSG.

Vonacodis

Datenpannen dem Datenschutzbeauftragten melden

Gemäß § 42a Bundesdatenschutzgesetz (BDSG) sind Datenpannen, die in einem Unternehmen z.B. durch dessen Mitarbeiter festgestellt werden, umgehend dem DSB zu melden und von diesem an die zuständige Aufsichtsbehörde sowie an denjenigen, den die Datenpanne betrifft (=“Betroffener“) zu melden.

Was ist eine Datenpanne?

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt dabei keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Unter Datenpannen fallen u.a.:

  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • bewusste oder unbewusste unbefugte Verarbeitung von Daten,
  • Angriffe auf die IT-Infrastruktur eines Unternehmens (z.B. durch Hacking).

Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden), oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).

Im Bundesdatenschutzgesetz werden Datenpannen indirekt durch die Informationspflicht definiert. Demnach liegt eine Datenpanne nur vor, wenn

  1. besondere Arten personenbezogener Daten (§3 Absatz 9 BDSG),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

Datenpannen werden von den zuständigen Behörden auf der Webseite http://www.projekt-datenschutz.de/dokumentiert und sind dort für jeden einsehbar.

Um als Unternehmen dort nicht „am öffentlichen Pranger“ zu stehen, sollte es selbstverständlich sein, dass alle Mitarbeiter darauf achten, Datenpannen zu vermeiden.

Vonacodis

Der neue EU-Datenschutz

(Auszug eines Artikels von Simon Hülsbömer, Leitender Redakteur der Computerwoche)

Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen.

Auswirkungen für Unternehmen

Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: „Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden.“ Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft. Hack kommentiert: „Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte.“

Bewertung von Unternehmenswerten

Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: „Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen.“ Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.

Matthiesen meint abschließend: „Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden.“

Mehr lesen ….

Vonacodis

Wir können „externer Datenschutzbeauftragter“!

Zertifizierte Fachkräfte für Datenschutz bieten Ihnen umfangreiche Dienstleistungen, z.B. den Datenschutz in Ihrem Unternehmen zu prüfen und zu organisieren und stehen Ihnen zudem auch gerne beratend zur Seite.

Unsere Tätigkeiten umfassen dabei u.a.:

  • Allgemeine Beratung der Geschäftsführung
  • Vertretung bei Datenschutzbelangen der Firma und bei Kontrollen durch die Datenschutzaufsichtsbehörde
  • Schulung der Mitarbeiter hinsichtlich Zweck und Erfordernis des Datenschutzes gemäß § 4g Abs. 2 Nr. 2 BDSG.
  • Führung des Verfahrensverzeichnisses sowie Weitergabe des öffentlichen Verfahrensverzeichnis an Jedermann auf Antrag (§4g Abs. 2 Satz 2 BDSG).
  • Durchführung der Vorabkontrolle automatisierter Verarbeitungen gemäß § 4d Abs. 5 i.V. mit Abs. 6 BDSG.
  • Regelmäßige Kontrolle der technischen und organisatorischen Umsetzung des Datenschutzes im Unternehmen
  • Ständige Anlaufstelle für Mitarbeiter und Betroffene
  • Kontakte zu Behörden und Verbänden zur Klärung datenschutzrechtlicher Problemstellungen
  • Information über Gesetzesnovellen, EU-Richtlinien, Persönlichkeitsrecht und Rechtsprechung zu datenschutzrechtlich relevanten Themen.
  • Erstellung des Datenschutzkonzeptes
  • Jährliche Überprüfung des Datenschutzkonzeptes auf Aktualität

Sprechen Sie uns noch heute an und fordern Sie Ihr individuelles Angebot bei uns ab.

Vonacodis

Sind Ihre personenbezogenen Daten ausreichend geschützt …

… und haben Sie einen Datenschutzbeauftragten gem. §4f BDSG bestellt?

Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) umfasst den Umgang mit personenbezogenen Daten. Die gesetzlichen Anforderungen in diesem Bereich haben in den letzten Jahren stark zugenommen.

Ob Kunden-, Lieferanten-, Mitarbeiter-, Patienten-, oder Mandantendaten: beinahe jedes Unternehmen, alle medizinischen Einrichtungen und viele Freiberufler wie Rechtsanwälte oder Wirtschaftsprüfer arbeiten mit Daten, die unter das BDSG fallen.

Seit dem 23. Mai 2004 muss laut BDSG ein Datenschutzbeauftragter (DSB) schriftlich bestellt und die Regelungen des BDSG umsetzt sein. Wer sich nicht daran hält, dem drohen hohe Bußgelder von bis zu 50.000 EUR bzw. bei gravierenden Verstößen von bis zu 300.000 Euro und mehr.

Vom neuen Gesetz betroffen sind nicht nur große Unternehmen. So gilt die Regelung zur Bestellung eines DSB auch für kleine und mittelständische Betriebe, sofern mindestens neun Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, was in der Regel schon der Fall ist, wenn die Mitarbeiter E-Mail-Zugang haben und E-Mails empfangen bzw. versenden können.

Datenschutzbeauftragte können Angestellte des Unternehmens (allerdings mit vergleichbarem Status wie Betriebsräte, was Kündbarkeit usw. angeht) oder externe Datenschutzbeauftragte sein, diese jedoch nur wenn sie über entsprechende fachliche Eignung und Qualifikation verfügen.

Vonacodis

Erwarten Sie unabhängige, kundenorientierte Beratung!

Die Berater bei acodis verpflichten sich zu einer neutralen, unabhängigen und kundenorientierten Beratung.

Die Leistungen und Produkte der Partner können, müssen aber nicht zum Einsatz kommen oder empfohlen werden. Im Vordergrund steht für die Berater, die beste Problemlösung für den Kunden zu finden.

acodis bietet allen Beteiligten die Plattform für eine schnelle Kontaktaufnahme, kurze Informationswege und einfachen Informationsaustausch ohne Abhängigkeiten.

Vonacodis

acodis ist Partner bei nrw.uniTS

Träger von nrw.uniTS sind das Horst Görtz Institut für IT Sicherheit der Ruhr-Universität Bochum, eco – Verband der deutschen Internetwirtschaft e.V. aus Köln und der IT Verband networker NRW. Unterstützend wirken eurobits e.V., die IHK Mittleres Ruhrgebiet und die Wirtschaftsförderung Bochum GmbH.

nrw.uniTS organisiert, koordiniert und forciert Kontakte, Wissen, Projekte und auch Aktionen im Bereich IT-Sicherheit, die Einzelunternehmen und anderen von Nutzen sind, sie allein aber nicht stemmen können. Die Zusammenarbeit von Universität und Wirtschaft garantiert hierbei die Verknüpfung von anwendungsorientierter Spitzenforschung der IT Security, mit handlungsorientiertem Unternehmergeist.

Das Ziel des Netzwerkes ist, über verschiedene Bereiche der IT-Sicherheit zu informieren, damit das Bewusstsein zu schärfen und das IT-Sicherheitsniveau in KMUs kontinuierlich anzuheben.

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen