Autor-Archiv acodis

  • Home   /  
  • Articles posted by acodis
Vonacodis

Was bedeutet „Auftragsdatenverarbeitung“ im Zusammenhang mit Datenschutz?

Für Auftragsdatenverarbeiter, also für Unternehmen, die in ihren Räumen bzw. in ihrem Rechenzentrum (RZ) im Auftrag ihrer Kunden Daten verarbeiten, gelten gemäß Bundesdatenschutzgesetz (BDSG) klare Anforderungen für die Auftragsdatenverarbeitung:

§ 11 BDSG fordert, dass die Vertragspartner die Bedingungen, unter denen Datenverarbeitung an Dritte übertragen werden soll, deutlicher festlegen müssen, etwa wenn ein RZ für ein Unternehmen die Softwarebetreuung übernimmt.

Schriftlich müssen insbesondere die folgenden Punkte festgehalten werden:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber ist nun seinerseits ausdrücklich verpflichtet, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Er hat das Ergebnis dieser Überprüfung zu dokumentieren.

Die Nichteinhaltung dieser Anforderungen ist zukünftig Bußgeldbewehrt gem. § 43 Abs. 1 Nr. 2b BDSG.

Vonacodis

Datenpannen dem Datenschutzbeauftragten melden

Gemäß § 42a Bundesdatenschutzgesetz (BDSG) sind Datenpannen, die in einem Unternehmen z.B. durch dessen Mitarbeiter festgestellt werden, umgehend dem DSB zu melden und von diesem an die zuständige Aufsichtsbehörde sowie an denjenigen, den die Datenpanne betrifft (=“Betroffener“) zu melden.

Was ist eine Datenpanne?

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt dabei keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Unter Datenpannen fallen u.a.:

  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • bewusste oder unbewusste unbefugte Verarbeitung von Daten,
  • Angriffe auf die IT-Infrastruktur eines Unternehmens (z.B. durch Hacking).

Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden), oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).

Im Bundesdatenschutzgesetz werden Datenpannen indirekt durch die Informationspflicht definiert. Demnach liegt eine Datenpanne nur vor, wenn

  1. besondere Arten personenbezogener Daten (§3 Absatz 9 BDSG),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

Datenpannen werden von den zuständigen Behörden auf der Webseite http://www.projekt-datenschutz.de/dokumentiert und sind dort für jeden einsehbar.

Um als Unternehmen dort nicht „am öffentlichen Pranger“ zu stehen, sollte es selbstverständlich sein, dass alle Mitarbeiter darauf achten, Datenpannen zu vermeiden.

Vonacodis

Der neue EU-Datenschutz

(Auszug eines Artikels von Simon Hülsbömer, Leitender Redakteur der Computerwoche)

Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen.

Auswirkungen für Unternehmen

Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: „Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden.“ Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft. Hack kommentiert: „Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte.“

Bewertung von Unternehmenswerten

Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: „Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen.“ Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.

Matthiesen meint abschließend: „Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden.“

Mehr lesen ….

Vonacodis

Wir können „externer Datenschutzbeauftragter“!

Zertifizierte Fachkräfte für Datenschutz bieten Ihnen umfangreiche Dienstleistungen, z.B. den Datenschutz in Ihrem Unternehmen zu prüfen und zu organisieren und stehen Ihnen zudem auch gerne beratend zur Seite.

Unsere Tätigkeiten umfassen dabei u.a.:

  • Allgemeine Beratung der Geschäftsführung
  • Vertretung bei Datenschutzbelangen der Firma und bei Kontrollen durch die Datenschutzaufsichtsbehörde
  • Schulung der Mitarbeiter hinsichtlich Zweck und Erfordernis des Datenschutzes gemäß § 4g Abs. 2 Nr. 2 BDSG.
  • Führung des Verfahrensverzeichnisses sowie Weitergabe des öffentlichen Verfahrensverzeichnis an Jedermann auf Antrag (§4g Abs. 2 Satz 2 BDSG).
  • Durchführung der Vorabkontrolle automatisierter Verarbeitungen gemäß § 4d Abs. 5 i.V. mit Abs. 6 BDSG.
  • Regelmäßige Kontrolle der technischen und organisatorischen Umsetzung des Datenschutzes im Unternehmen
  • Ständige Anlaufstelle für Mitarbeiter und Betroffene
  • Kontakte zu Behörden und Verbänden zur Klärung datenschutzrechtlicher Problemstellungen
  • Information über Gesetzesnovellen, EU-Richtlinien, Persönlichkeitsrecht und Rechtsprechung zu datenschutzrechtlich relevanten Themen.
  • Erstellung des Datenschutzkonzeptes
  • Jährliche Überprüfung des Datenschutzkonzeptes auf Aktualität

Sprechen Sie uns noch heute an und fordern Sie Ihr individuelles Angebot bei uns ab.

Vonacodis

Sind Ihre personenbezogenen Daten ausreichend geschützt …

… und haben Sie einen Datenschutzbeauftragten gem. §4f BDSG bestellt?

Datenschutz nach dem Bundesdatenschutzgesetz (BDSG) umfasst den Umgang mit personenbezogenen Daten. Die gesetzlichen Anforderungen in diesem Bereich haben in den letzten Jahren stark zugenommen.

Ob Kunden-, Lieferanten-, Mitarbeiter-, Patienten-, oder Mandantendaten: beinahe jedes Unternehmen, alle medizinischen Einrichtungen und viele Freiberufler wie Rechtsanwälte oder Wirtschaftsprüfer arbeiten mit Daten, die unter das BDSG fallen.

Seit dem 23. Mai 2004 muss laut BDSG ein Datenschutzbeauftragter (DSB) schriftlich bestellt und die Regelungen des BDSG umsetzt sein. Wer sich nicht daran hält, dem drohen hohe Bußgelder von bis zu 50.000 EUR bzw. bei gravierenden Verstößen von bis zu 300.000 Euro und mehr.

Vom neuen Gesetz betroffen sind nicht nur große Unternehmen. So gilt die Regelung zur Bestellung eines DSB auch für kleine und mittelständische Betriebe, sofern mindestens neun Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, was in der Regel schon der Fall ist, wenn die Mitarbeiter E-Mail-Zugang haben und E-Mails empfangen bzw. versenden können.

Datenschutzbeauftragte können Angestellte des Unternehmens (allerdings mit vergleichbarem Status wie Betriebsräte, was Kündbarkeit usw. angeht) oder externe Datenschutzbeauftragte sein, diese jedoch nur wenn sie über entsprechende fachliche Eignung und Qualifikation verfügen.

Vonacodis

Erwarten Sie unabhängige, kundenorientierte Beratung!

Die Berater bei acodis verpflichten sich zu einer neutralen, unabhängigen und kundenorientierten Beratung.

Die Leistungen und Produkte der Partner können, müssen aber nicht zum Einsatz kommen oder empfohlen werden. Im Vordergrund steht für die Berater, die beste Problemlösung für den Kunden zu finden.

acodis bietet allen Beteiligten die Plattform für eine schnelle Kontaktaufnahme, kurze Informationswege und einfachen Informationsaustausch ohne Abhängigkeiten.

Vonacodis

acodis ist Partner bei nrw.uniTS

Träger von nrw.uniTS sind das Horst Görtz Institut für IT Sicherheit der Ruhr-Universität Bochum, eco – Verband der deutschen Internetwirtschaft e.V. aus Köln und der IT Verband networker NRW. Unterstützend wirken eurobits e.V., die IHK Mittleres Ruhrgebiet und die Wirtschaftsförderung Bochum GmbH.

nrw.uniTS organisiert, koordiniert und forciert Kontakte, Wissen, Projekte und auch Aktionen im Bereich IT-Sicherheit, die Einzelunternehmen und anderen von Nutzen sind, sie allein aber nicht stemmen können. Die Zusammenarbeit von Universität und Wirtschaft garantiert hierbei die Verknüpfung von anwendungsorientierter Spitzenforschung der IT Security, mit handlungsorientiertem Unternehmergeist.

Das Ziel des Netzwerkes ist, über verschiedene Bereiche der IT-Sicherheit zu informieren, damit das Bewusstsein zu schärfen und das IT-Sicherheitsniveau in KMUs kontinuierlich anzuheben.

Vonacodis

Rechenzentrum-Betreiber-Urteil aus 4./2014

US-Durchsuchungsbefehle gelten auch für in Europa gespeicherte Cloud-Daten

„In den USA ansässige Anbieter von Internet-, E-Mail- und Cloud-Diensten können auch dann zur Herausgabe von außerhalb der USA (z.B. in Deutschland!) gespeicherten Daten gezwungen werden, wenn Behörden nur im Besitz eines für die USA gültigen Durchsuchungsbefehls sind. Das hat der US-Bundesrichter James Francis in New York entschieden.

In seiner Urteilsbegründung argumentiert der Richter, Firmen wie Google und Microsoft müssten die Daten aushändigen, weil sich sonst der Aufwand für die US-Regierung durch die Zusammenarbeit mit anderen Ländern “deutlich” erhöhen würde. Er bezieht sich auf die Aussage eines Gutachters, wonach ein Amtshilfeverfahren “generell langsam und arbeitsintensiv” sei. Bei der Zusammenarbeit zwischen zwei Regierungen könne es zudem sein, dass die eine Partei einem Fall eine weniger hohe Priorität einräume als die andere…“

Quelle: ZDNEt/Stefan Beiersmann am 29. April 2014

Vonacodis

Maßnahmen zum Schutz personenbezogener Daten

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Dabei sind insbesondere Masnahmen zu treffen, die je nach der Art der zu schutzenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass uberprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überpruft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewahrleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Vonacodis

Verfahrensverzeichnisse und Orga.-Struktur

Checkliste zur Erstellung internes und externes Verfahrensverzeichnis und Schaffung einer Orga-Struktur

  1. Definition und Aufbau eines Meldewegs über die Einführung neuer oder die Änderung bestehender Verfahren durch die verantwortliche Stelle bzw. die entsprechend beauftragte Stelle wie IT-Leitung, Einkauf oder Systemadministration
  2. Strukturierte Aufnahme der Informationen zu neuen oder geänderten Verfahren mithilfe eines Registers/einer Datenbank mit Kurzbeschreibung des Anwendungsverfahrens (Datenverarbeitungszweck), benötigte Datenkategorien und Datenbestände (wie Adressdaten, Lohn- und Gehaltsdaten, Bonitätsdaten,  Qualifikationsdaten, Gesundheitsdaten), Sensibilität der Daten (besonderer Schutzbedarf), betroffene Personen und Personengruppen, Verfügbarkeitsanforderung, die für den ordnungsgemäßen Verfahrensablauf  verantwortlichen Personen, die benötigte Hard- und Software
  3. Untersuchung des Datenflusses (Woher kommen die Daten, wo werden sie durch wen verarbeitet, an wen gehen sie?)
  4. Prüfung der Grundlagen der Datennutzung und Datenspeicherung
  5. Untersuchung, wer zu den Datenverarbeitern gehört und wer ggf. unbefugt Zugang zu den Daten erhalten könnte
  6. Durchführung einer Risikoanalyse zu den neuen oder geänderten Verfahren (bekannte Risiken, festgestellte Schwachstellen, Bewertung der Eintrittswahrscheinlichkeit und des möglichen Schadens)
  7. Einführung eines Risikomanagements für die festgestellten Risiken, sofern nicht vorhanden
  8. Prüfung der verfügbaren und tatsächlich eingesetzten Maßnahmen (nach Anlage zu § 9 BDSG)
  9. Prüfung zur Umsetzung der Aufbewahrungspflichten und Löschfristen

Aktuelle Informationen

acodis Flyer
© 2014-2019 acodis
Unternehmenssicherheit | Datenschutz | Informationsmanagement | IT-Sicherheit | Compliance | Zertifizierungsberatung

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen