Für Auftragsdatenverarbeiter, also für Unternehmen, die in ihren Räumen bzw. in ihrem Rechenzentrum (RZ) im Auftrag ihrer Kunden Daten verarbeiten, gelten gemäß Bundesdatenschutzgesetz (BDSG) klare Anforderungen für die Auftragsdatenverarbeitung:
§ 11 BDSG fordert, dass die Vertragspartner die Bedingungen, unter denen Datenverarbeitung an Dritte übertragen werden soll, deutlicher festlegen müssen, etwa wenn ein RZ für ein Unternehmen die Softwarebetreuung übernimmt.
Schriftlich müssen insbesondere die folgenden Punkte festgehalten werden:
Der Auftraggeber ist nun seinerseits ausdrücklich verpflichtet, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Er hat das Ergebnis dieser Überprüfung zu dokumentieren.
Die Nichteinhaltung dieser Anforderungen ist zukünftig Bußgeldbewehrt gem. § 43 Abs. 1 Nr. 2b BDSG.
Gemäß § 42a Bundesdatenschutzgesetz (BDSG) sind Datenpannen, die in einem Unternehmen z.B. durch dessen Mitarbeiter festgestellt werden, umgehend dem DSB zu melden und von diesem an die zuständige Aufsichtsbehörde sowie an denjenigen, den die Datenpanne betrifft (=“Betroffener“) zu melden.
Was ist eine Datenpanne?
Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt dabei keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Unter Datenpannen fallen u.a.:
Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden), oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).
Im Bundesdatenschutzgesetz werden Datenpannen indirekt durch die Informationspflicht definiert. Demnach liegt eine Datenpanne nur vor, wenn
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.
Datenpannen werden von den zuständigen Behörden auf der Webseite http://www.projekt-datenschutz.de/dokumentiert und sind dort für jeden einsehbar.
Um als Unternehmen dort nicht „am öffentlichen Pranger“ zu stehen, sollte es selbstverständlich sein, dass alle Mitarbeiter darauf achten, Datenpannen zu vermeiden.
(Auszug eines Artikels von Simon Hülsbömer, Leitender Redakteur der Computerwoche)
Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen.
Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: „Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden.“ Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft. Hack kommentiert: „Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte.“
Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: „Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen.“ Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.
Matthiesen meint abschließend: „Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden.“
„In den USA ansässige Anbieter von Internet-, E-Mail- und Cloud-Diensten können auch dann zur Herausgabe von außerhalb der USA (z.B. in Deutschland!) gespeicherten Daten gezwungen werden, wenn Behörden nur im Besitz eines für die USA gültigen Durchsuchungsbefehls sind. Das hat der US-Bundesrichter James Francis in New York entschieden.
In seiner Urteilsbegründung argumentiert der Richter, Firmen wie Google und Microsoft müssten die Daten aushändigen, weil sich sonst der Aufwand für die US-Regierung durch die Zusammenarbeit mit anderen Ländern “deutlich” erhöhen würde. Er bezieht sich auf die Aussage eines Gutachters, wonach ein Amtshilfeverfahren “generell langsam und arbeitsintensiv” sei. Bei der Zusammenarbeit zwischen zwei Regierungen könne es zudem sein, dass die eine Partei einem Fall eine weniger hohe Priorität einräume als die andere…“
Quelle: ZDNEt/Stefan Beiersmann am 29. April 2014
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Dabei sind insbesondere Masnahmen zu treffen, die je nach der Art der zu schutzenden personenbezogenen Daten oder Datenkategorien geeignet sind,
Checkliste zur Erstellung internes und externes Verfahrensverzeichnis und Schaffung einer Orga-Struktur
Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen
Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.