Kategorien-Archiv Informationen

Vonacodis

Was bedeutet „Auftragsdatenverarbeitung“ im Zusammenhang mit Datenschutz?

Für Auftragsdatenverarbeiter, also für Unternehmen, die in ihren Räumen bzw. in ihrem Rechenzentrum (RZ) im Auftrag ihrer Kunden Daten verarbeiten, gelten gemäß Bundesdatenschutzgesetz (BDSG) klare Anforderungen für die Auftragsdatenverarbeitung:

§ 11 BDSG fordert, dass die Vertragspartner die Bedingungen, unter denen Datenverarbeitung an Dritte übertragen werden soll, deutlicher festlegen müssen, etwa wenn ein RZ für ein Unternehmen die Softwarebetreuung übernimmt.

Schriftlich müssen insbesondere die folgenden Punkte festgehalten werden:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Der Auftraggeber ist nun seinerseits ausdrücklich verpflichtet, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Er hat das Ergebnis dieser Überprüfung zu dokumentieren.

Die Nichteinhaltung dieser Anforderungen ist zukünftig Bußgeldbewehrt gem. § 43 Abs. 1 Nr. 2b BDSG.

Vonacodis

Datenpannen dem Datenschutzbeauftragten melden

Gemäß § 42a Bundesdatenschutzgesetz (BDSG) sind Datenpannen, die in einem Unternehmen z.B. durch dessen Mitarbeiter festgestellt werden, umgehend dem DSB zu melden und von diesem an die zuständige Aufsichtsbehörde sowie an denjenigen, den die Datenpanne betrifft (=“Betroffener“) zu melden.

Was ist eine Datenpanne?

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen Staatsgeheimnisse, Betriebsgeheimnisse oder personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt geworden sind. Es spielt dabei keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen. Unter Datenpannen fallen u.a.:

  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • bewusste oder unbewusste unbefugte Verarbeitung von Daten,
  • Angriffe auf die IT-Infrastruktur eines Unternehmens (z.B. durch Hacking).

Die Daten können dabei im Original abhandenkommen (z. B. indem Datenträger oder Akten verloren, gestohlen oder falsch entsorgt werden), oder in Form einer Kopie (z. B. durch Eindringen in einen Server, Verbreitung versehentlich veröffentlichter Daten oder die Arbeit von Informanten).

Im Bundesdatenschutzgesetz werden Datenpannen indirekt durch die Informationspflicht definiert. Demnach liegt eine Datenpanne nur vor, wenn

  1. besondere Arten personenbezogener Daten (§3 Absatz 9 BDSG),
  2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
  3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
  4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind.

Datenpannen werden von den zuständigen Behörden auf der Webseite http://www.projekt-datenschutz.de/dokumentiert und sind dort für jeden einsehbar.

Um als Unternehmen dort nicht „am öffentlichen Pranger“ zu stehen, sollte es selbstverständlich sein, dass alle Mitarbeiter darauf achten, Datenpannen zu vermeiden.

Vonacodis

Der neue EU-Datenschutz

(Auszug eines Artikels von Simon Hülsbömer, Leitender Redakteur der Computerwoche)

Nach jahrelanger Debatte verabschiedete das EU-Parlament die Reform des Europäischen Datenschutzrechts. Ab 2018 gelten neue Spielregeln, die besonders den Privatverbraucher stärken und Unternehmen im Fall eines Datenschutzverstoßes stärker bestrafen sollen.

Auswirkungen für Unternehmen

Was bedeuten die neuen Regelungen für deutsche Unternehmen konkret? Michael Hack, Senior Vice President EMEA Operations beim Netzwerk-Security-Spezialisten Ipswitch beschreibt, was nun zu tun ist: „Der erste Schritt besteht für Unternehmen im Durchspielen einer Risikomanagement-Übung, um die wichtigsten Prozesse und Assets zu identifizieren sowie Schwachstellen und potenzielle Bedrohungen zu bewerten. Daraus können Prozesse, die zur Einhaltung der neuen Vorschriften in Gang gesetzt werden müssen, abgeleitet und priorisiert werden.“ Diese Übung solle sämtliche Unternehmensbereiche einschließen und auch Technologien und Strategien zur Risikominimierung beinhalten. Unternehmen, die große Datenmengen verarbeiten, könnten zudem mehr Datenschutzexperten benötigen, was den Fachkräftemangel in einem ohnehin bereits abgegrasten Arbeitsmarkt weiter verschärft. Hack kommentiert: „Zwar wird für die deutschen Unternehmen die zusätzliche finanzielle Belastung für die Einführung derartiger Maßnahmen nicht unerheblich sein, doch die Konsequenzen bei einem Verstoß gegen die Verordnung wären in finanzieller Hinsicht zweifelsfrei die größere Kröte, die es zu schlucken gälte.“

Bewertung von Unternehmenswerten

Auch Rechtsanwalt Reemt Matthiesen von der Münchner Wirtschaftskanzlei CMS Hasche Sigle empfiehlt Unternehmen, sich nun intensiv mit ihren Assets und deren Schutz zu beschäftigen: „Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Konzernumsatzes werden Unternehmen in den nächsten zwei Jahren bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen müssen.“ Mit einer Revolution haben wir es seiner Einschätzung nach allerdings aus deutscher Sicht nicht zu tun. Im Bereich des Marketing könnten sich sogar mehr Möglichkeiten eröffnen: So fänden sich im Bereich der Kundendatenauswertung Ansätze für erweiterte Spielräume gegenüber den bisherigen Bestimmungen. Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiter national Regelungen erlassen; die Vereinheitlichung des Rechts stoße hier an ihre Grenzen.

Matthiesen meint abschließend: „Positiv hervorzuheben ist, dass die Verordnung nunmehr das berechtigte Interesse am konzerninternen Datenaustausch für Kunden- wie Arbeitnehmerdaten anerkennt – damit sollten viele der heute abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung zwischen Konzerngesellschaften obsolet werden.“

Mehr lesen ….

Vonacodis

Rechenzentrum-Betreiber-Urteil aus 4./2014

US-Durchsuchungsbefehle gelten auch für in Europa gespeicherte Cloud-Daten

„In den USA ansässige Anbieter von Internet-, E-Mail- und Cloud-Diensten können auch dann zur Herausgabe von außerhalb der USA (z.B. in Deutschland!) gespeicherten Daten gezwungen werden, wenn Behörden nur im Besitz eines für die USA gültigen Durchsuchungsbefehls sind. Das hat der US-Bundesrichter James Francis in New York entschieden.

In seiner Urteilsbegründung argumentiert der Richter, Firmen wie Google und Microsoft müssten die Daten aushändigen, weil sich sonst der Aufwand für die US-Regierung durch die Zusammenarbeit mit anderen Ländern “deutlich” erhöhen würde. Er bezieht sich auf die Aussage eines Gutachters, wonach ein Amtshilfeverfahren “generell langsam und arbeitsintensiv” sei. Bei der Zusammenarbeit zwischen zwei Regierungen könne es zudem sein, dass die eine Partei einem Fall eine weniger hohe Priorität einräume als die andere…“

Quelle: ZDNEt/Stefan Beiersmann am 29. April 2014

Vonacodis

Maßnahmen zum Schutz personenbezogener Daten

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Dabei sind insbesondere Masnahmen zu treffen, die je nach der Art der zu schutzenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass uberprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überpruft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewahrleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Vonacodis

Verfahrensverzeichnisse und Orga.-Struktur

Checkliste zur Erstellung internes und externes Verfahrensverzeichnis und Schaffung einer Orga-Struktur

  1. Definition und Aufbau eines Meldewegs über die Einführung neuer oder die Änderung bestehender Verfahren durch die verantwortliche Stelle bzw. die entsprechend beauftragte Stelle wie IT-Leitung, Einkauf oder Systemadministration
  2. Strukturierte Aufnahme der Informationen zu neuen oder geänderten Verfahren mithilfe eines Registers/einer Datenbank mit Kurzbeschreibung des Anwendungsverfahrens (Datenverarbeitungszweck), benötigte Datenkategorien und Datenbestände (wie Adressdaten, Lohn- und Gehaltsdaten, Bonitätsdaten,  Qualifikationsdaten, Gesundheitsdaten), Sensibilität der Daten (besonderer Schutzbedarf), betroffene Personen und Personengruppen, Verfügbarkeitsanforderung, die für den ordnungsgemäßen Verfahrensablauf  verantwortlichen Personen, die benötigte Hard- und Software
  3. Untersuchung des Datenflusses (Woher kommen die Daten, wo werden sie durch wen verarbeitet, an wen gehen sie?)
  4. Prüfung der Grundlagen der Datennutzung und Datenspeicherung
  5. Untersuchung, wer zu den Datenverarbeitern gehört und wer ggf. unbefugt Zugang zu den Daten erhalten könnte
  6. Durchführung einer Risikoanalyse zu den neuen oder geänderten Verfahren (bekannte Risiken, festgestellte Schwachstellen, Bewertung der Eintrittswahrscheinlichkeit und des möglichen Schadens)
  7. Einführung eines Risikomanagements für die festgestellten Risiken, sofern nicht vorhanden
  8. Prüfung der verfügbaren und tatsächlich eingesetzten Maßnahmen (nach Anlage zu § 9 BDSG)
  9. Prüfung zur Umsetzung der Aufbewahrungspflichten und Löschfristen
Vonacodis

Ohne Datenschutz geht es nicht! Aber – was ist schützenswert?

Ganz grob kann man die schützenswerten Daten in drei Bereiche einteilen:

  1. Personenbezogene Daten gemäß Bundesdatenschutzgesetz (BDSG)
  2. Unternehmerische Daten
  3. Sonstige private Daten

1. Personenbezogene Daten gemäß Bundesdatenschutzgesetz (BDSG)

Das BDSG schreibt für alle Unternehmen den Schutz personenbezogener Daten vor. Dazu zählen nicht nur die Daten der eigenen Mitarbeiter, sondern auch die persönlichen Daten von Interessenten, Kunden, Mandanten, Klienten, Lieferanten, Partnern usw.

Personenbezogene Daten sind z. B.

  • Kontaktdaten wie Telefonnrn., E-Mail Adressen, postalische Anschriften
  • Bildungsstand, Kenntnisse, Fähigkeiten, Erfahrungen und Daten, die geeignet sind, die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens zu bewerten
  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit oder Sexualleben
  • Lohn- und Gehaltsdaten

2. Unternehmerische Daten

In Ihrem Unternehmen finden sich mit Sicherheit neben den personenbezogenen Daten noch weitere Daten die Sie bestimmt nicht veröffentlich wissen möchten.

Solche Daten können sein:

  • Technologiedaten
  • Konstruktionsdaten, -zeichnungen
  • Betriebswirtschaftliche Daten
  • Kalkulationen, Angebote
  • Strategische, planerische Daten

3. Sonstige private Daten

Jeder empfindet für sich andere Daten und Informationen als schützenswert. Allerdings sollte man sich bewusst sein, dass jeder tagtäglich Informationen unterschiedlichster Art über sich preis gibt.

  • Surfen im Internet
  • Online-Einkäufe
  • Bezahlung mit Kreditkarten
  • Nutzung von Boni-Systemen
  • Telefonieren mit Mobiltelefonen
  • Internet der Dinge

So entstehen über jeden von uns

  • Bewegungsprofile
  • Einsichten über das Kaufverhalten
  • Erkenntnisse über Vorlieben

So gerne jeder Unternehmer natürlich solche Informationen über seine Zielgruppe haben möchte und so schön einfach und bequem es natürlich für jeden sein kann, auf sich individuell zugeschnittene Werbung und Angebote zu bekommen, so sehr muss sich jeder fragen, ob es dies wert ist, dafür ein transparenter Konsument ohne Privatsphäre zu werden.

Vonacodis

Internet der Dinge – die neue Gefahr für Ihre Privatsphäre?

Der Trend geht im Moment dahin, immer mehr Geräte mit dem Internet zu verbinden.

Zu diesen gehören auch immer mehr Geräte, die wir tagtäglich nutzen:

  • Kühlschränke
  • Kaffeemaschinen
  • Heizungen
  • Rolladensteuerungen
  • Rasensprenger
  • Energiezähler
  • Autos

Viele davon werden Daten produzieren, die personenbezogen Nutzungsgewohnheiten erkennen lassen.

GPS-fähige Geräte wie Smartphones, Digitalkameras oder Navigationslösungen liefern Standortdaten und ermöglichen Bewegungsprofile oder, in Verbindung mit sog. Location-based-Services, auch Konsum- und Verhaltensprofile.

Aktuellen Berechnungen zufolge verdoppelt sich das weltweite Datenvolumen alle zwei Jahre.

Vonacodis

Vorbereitende Maßnahmen zur Implementierung von Datenschutz

Sie möchten den Schutz von persönlichen Daten in Ihrem Unternehmen sicherstellen?

Dann orientieren Sie sich an dieser Liste mit vorbereitenden Maßnahmen.

  • Organigramm der Unternehmung
  • Verantwortliche Personen und deren Rollen, Zuständigkeiten
  • Mitarbeiter / Telefonliste und Aufgaben im Unternehmen
  • Netzpläne, Berechtigungskonzepte
  • Softwareübersicht (Anwendungen, Versionen, Lizenzen, …)
  • Handbücher (ggf. spezifische Anwendungen)
  • Gebäudepläne, Sicherheitszonen, Alarmkonzept, Zutrittsberechtigungen (Schlüssel…) externe Dienstleister/Fremdfirmen (Steuerberater, Daten-Sicherheit, Reinigung, Aufzugwartung, Security, …)
  • Betriebsvereinbarungen, Dienstanweisungen, Betriebsrat
  • evtl. bisherige Berichte (Revision, Störungen, …)
  • Prüfung auf redundante Datenbestände und Verringerung bestehender Redundanzen
  • eindeutige Identifizierung von Datenbeständen in der IT-Landschaft (Datenlandkarte),
  • Datensparsame Implementierung erforderlicher Zwischenspeicher (beispielsweise automatische Löschung nach Konvertierung und Export)
  • Implementierung von Schnittstellen zum Export von Datensätzen im jeweils gültigen Format.
  • Vermeidung fester Verknüpfungen mit vollständigen Datensätzen
  • Implementierung von Verknüpfungen zu Protokollierungszwecken mittels eineindeutiger User oder Datensatz-IDs (Pseudonyme).
  • einheitliche Gestaltung von Datensätzen in unterschiedlichen Systemen
  • Erweiterung von Datensätzen um Haltbarkeitsdatum
  • Aufbau von Prüf- und Löschroutinen

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen