DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

DS-GVO … Was müssen Sie beachten?

Der Countdown für die neue DS-GVO läuft

Sicher haben Sie schon oft darüber gelesen und kennen den Stichtag in- und aus­wendig: Es geht um den 25.05.2018 und die Tat­sache, dass die Daten­schutz­kon­for­mität Ihres Unter­nehmens ab diesem Datum an der Euro­päi­schen Daten­­schutz-Grun­d­­ver­­­ordnung (DS-GVO) gemessen wird.

Werden Sie auch immer häu­figer von Ihren Kunden zur DS-GVO ange­sprochen und sind Sie – wie viele andere — noch nicht zur Tat geschritten? Dabei ver­un­si­chern die hohen Buß­geld­for­de­rungen und die Beweis­last­umkehr (Ihr Unter­nehmen gegenüber Ihrer Auf­sichts­be­hörde) lastet schwer auf Ihren Schultern.

In diesem Fall emp­fiehlt sich quasi als Not-Fal­l­­schirm, zumindest erstmal fol­gende Daten­­schutz-Maß­­nahmen in Angriff zu nehmen:

  • Beschaffung von Infor­ma­tionen und Hilfs-Ange­­boten

Bevor Sie los­legen, sollten Sie sich unbe­dingt etwas Zeit für Recherchen nehmen. Kammern, Bran­chen­ver­bände aber ins­be­sondere auch die Daten­­schutz-Auf­­­sichts­be­­hörden (wie z. B. www.lda.bayern.de, www.baden-wuerttemberg.datenschutz.de, etc.) bieten her­vor­ra­gende Infor­ma­tionen über die Anfor­de­rungen der DS-GVO an und stellen pra­xis­re­le­vantes Hilfs­ma­terial,  Muster und Ver­weise (Links) zur Ver­fügung. Eine Über­sicht über alle Auf­sichts­be­hörden und Lan­des­da­ten­schutz­be­auf­tragte finden Sie z. B. unter www.datenschutz-wiki.de.

  • Über­prüfung der Pro­zesse und Ver­ar­bei­tungs­tä­tig­keiten

Aus­gehend von dem daten­schutz­recht­lichen Prinzip „Verbot mit Erlaub­nis­vor­behalt” sollten Sie prüfen, welche Pro­zesse und Ver­ar­bei­tungs­tä­tig­keiten in Ihrem Unter­nehmen exis­tieren, um per­so­nen­be­zogene Daten zu erheben, zu ver­ar­beiten und zu nutzen. Es muss in jedem Fall nach­weisbar die Recht­mä­ßigkeit, z. B. in Form eines Ver­trags, einer Bei­tritts­er­klärung oder einer Ein­wil­ligung vor­liegen. Andern­falls wäre der Umgang mit per­so­nen­be­zo­genen Daten ver­boten. Fragen Sie sich bei dieser Ist-Analyse auch selbst­kri­tisch, ob Sie die bereits bestehenden Anfor­de­rungen der Zweck­bindung, der Wei­sungs­ge­bun­denheit (bei der Auf­trags­ver­ar­beitung), der Daten­mi­ni­mierung und –rich­tigkeit sowie der Spei­cherung bzw. Löschung schon aus­rei­chend beachtet haben. Jetzt ist die richtige Zeit für Anpas­sungen!

Emp­fehlung: Ori­en­tieren Sie sich bei der Unter­su­chung an den Anfor­de­rungen von Art. 30 Abs. 1 DS-GVO (Ver­ar­bei­tungs­ver­zeichnis). Dann können Sie die Unter­su­chungs­er­geb­nisse zur Erstellung dieses Ver­zeich­nisses (siehe nächster Punkt) nutzen.

  • Ver­zeichnis von Ver­ar­bei­tungs­tä­tig­keiten

Die DS-GO fordert, dass jeder Ver­ant­wort­liche ein Ver­zeichnis seiner Ver­ar­bei­tungs­tä­tig­keiten führen muss, in dem er bestimmte Infor­ma­tionen gemäß den Vor­gaben aus Art. 30 DS-GVO auf­listet. Das Ver­zeichnis ist nicht öffentlich, aller­dings der Auf­sichts­be­hörde auf Anfrage nach­zu­weisen. Muster (teil­weise sogar mit Bei­spielen) finden Sie unter den o. g. Ver­weisen.

Emp­fehlung: Kopieren Sie ein für Ihr Unter­nehmen pas­sendes Muster und ergänzen/ändern Sie es ent­spre­chend. Aller Anfang ist schwer, aber so kommen Sie schnell zu einer 80 %-Lösung.

  • Daten­schutz­be­auf­tragter (DSB)

Prüfen Sie sorg­fältig, ob Sie einen Daten­schutz­be­auf­tragten brauchen. Ori­en­tieren Sie sich hierbei an den gesetz­lichen Rege­lungen in Art. 37 Abs. 1 DS-GVO und § 38 BDSG (2018). Ein DSB (intern oder extern) ist schriftlich zu bestellen und der Auf­sichts­be­hörde zu melden. Er berät Sie als Ver­ant­wort­lichen, kon­trol­liert die Ein­haltung der Daten­­schutz-Gesetze und unter­weist Ihre Mit­ar­beiter. Zu seinen Rechten gehört u. a. die wei­sungs­freie Tätigkeit und ein Benach­tei­li­gungs­verbot.

Emp­fehlung: Einen Fra­gen­ka­talog, der Sie ziel­ge­richtet zur rich­tigen Ent­scheidung führt, finden Sie z. B. in der Bro­schüre „Erste Hilfe zur Daten­­schutz-Grun­d­­ver­­­ordnung für Unter­nehmen und Vereine” vom Baye­ri­schen Lan­desamt für Daten­schutz­auf­sicht. Aus­gehend von der Frage, ob in Ihrem Unter­nehmen min­destens 10 Per­sonen damit beschäftigt sind, per­so­nen­be­zogene Daten auto­ma­ti­siert zu ver­ar­beiten, werden noch weitere Kri­terien bezüglich der Daten­arten und der Kern­tä­tigkeit Ihres Unter­nehmens abge­fragt. Anschließend wissen Sie genau, ob Sie einen DSB benö­tigen oder nicht.

  • Rechte der Betrof­fenen und Infor­ma­ti­ons­pflichten

Spä­testens in diesem Punkt wird der Grund­ge­danke der DS-GVO deutlich. Alle Anfor­de­rungen dienen letztlich dem Schutz der Rechte und Frei­heiten natür­licher Per­sonen, deren Daten ver­ar­beitet werden. Damit Per­sonen ihre Rechte und Frei­heiten ver­tei­digen können, müssen sie wissen, wer welche ihrer Daten zu welchen Zweck ver­ar­beitet. Daher sind Unter­nehmen bereits bei der Daten­er­hebung zur aktiven Infor­mation der betrof­fenen Per­sonen (z. B. Kunden, Lie­fe­ranten, Partner etc.) ver­pflichtet und müssen Anfor­de­rungen der Betrof­fenen auf Aus­kunft, Berich­tigung, Löschung, Ein­schränkung der Ver­ar­beitung, Über­tragung der Daten, Wider­spruch gegen die Ver­ar­beitung etc. unver­züglich erfüllen.

Emp­fehlung: Über­legen Sie recht­zeitig, wo per­so­nen­be­zogene Daten in Ihrem Unter­nehmen gespei­chert sind und wer die Fragen der Betrof­fenen in welcher Form innerhalb welcher Frist beant­wortet. Fixieren Sie diesen Prozess in einer internen Orga­ni­sa­ti­ons­an­weisung oder in einem Daten­­schutz-Handbuch. Das Ver­zeichnis der Ver­ar­bei­tungs­tä­tig­keiten hilft Ihnen hierbei, denn daraus ist erkennbar, welche Stelle welche Daten zu welchem Zweck ver­ar­beitet. Folgen Sie ruhig auch dem Rat von Auf­sichts­be­hörden, einen Testlauf durch­zu­führen, denn wenn Sie im Ernstfall hier nicht zeitnah, voll­ständig und richtig reagieren, drohen erheb­liche Sank­tionen.

  • Ver­ein­barung zur Auf­trags­ver­ar­beitung (AV)

Schalten Sie Dienst­leister ein, die für Ihr Unter­nehmen Auf­träge durch­führen und hierbei mit Ihren per­so­nen­be­zo­genen Daten in Berührung kommen? Denken Sie z. B. an Rechen­zentren, die Ihre Löhne ver­ar­beiten, an System-Partner, die Ihre DV-Anlage warten oder an Ent­sor­gungs­un­ter­nehmen, die Ihre ver­trau­lichen Unter­lagen (in Papierform oder auf Daten­trägern) ent­sorgen. In all diesen Fällen liegt eine Auf­trags­ver­ar­beitung vor. Für Sie als Auf­trag­geber und Ihren Dienst­leistern als Auf­trag­nehmer muss dann jeweils eine AV geschlossen werden, in der alle Rechten und Pflichten beider Ver­trags­partner fest­gelegt sind. Ein wesent­licher Bau­stein der AV ist die Beschreibung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen (TOMs), die der Auf­trags­ver­ar­beiter (Dienst­leister) zum Schutz der ihm über­las­senen per­so­nen­be­zo­genen Daten umsetzt.

Emp­fehlung: Daten­schutz­kon­forme Muster-Ver­­ein­ba­­rungen finden Sie vielfach im Internet. Wenn Sie gezielt auf den Seiten der Auf­sichts­be­hörden suchen, werden Sie schnell fündig. Kopieren Sie die Vor­lagen und passen sie diese indi­vi­duell an. Dann müssen Sie „das Rad nicht neu erfinden” und stellen sicher, dass Sie keine wesent­lichen Inhalts­punkte ver­gessen.

  • Schulung der Mit­ar­beiter

Wie so oft im Leben, ist der Mensch das schwächste Glied in der Kette aller Schutz­nahmen. Gemäß „Murphy´s Law” (alles, was schief­gehen kann, wird auch schief­gehen) reicht eine Fahr­läs­sigkeit eines Mit­ar­beiters im Umgang mit per­so­nen­be­zo­genen Daten, um eine Lawine los­zu­treten, die zu unüber­seh­baren Image­schäden und unkal­ku­lier­baren Sank­tionen führen kann.

Emp­fehlung: Fangen Sie jetzt an, Ihre Mit­ar­beiter auf die Anfor­de­rungen der DS-GVO ein­zu­stimmen. Lassen Sie eine Ver­pflichtung zur Ver­schwie­genheit unter­zeichnen, führen Sie regel­mäßig Infor­ma­ti­ons­termine zum Daten­schutz durch und lassen Sie die Teil­nahme quit­tieren. Denken Sie auch über die Ein­führung eines Daten­­schutz-Lern­­pro­gramms nach, das Ihre Mit­ar­beiter z. B. einmal jährlich durch­ar­beiten und mit einem Fra­ge­bogen abschließen können. Die Pro­to­kol­lierung der Teil­nahme dient Ihnen als Nachweis für die Schu­lungs­maß­nahmen gegenüber Ihren Kunden und der Auf­sichts­be­hörde.

Noch ein Wort zum Schluss: Andrea Voßhoff, Bun­des­be­auf­tragte für Daten­schutz und Infor­ma­ti­ons­freiheit, schloss anlässlich einer Dis­kussion während der Daten­schutz­kon­ferenz 2018 mit dem Zitat von Johann Gottlieb Fichte: „Jedes Schreckbild ver­schwindet, wenn man es fest ins Auge fasst.” In diesem Sinne viel Erfolg für die ersten Schritte zur Umsetzung der DS-GVO und denken Sie daran: Der Appetit kommt beim Essen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Robert Lederer, DATEV eG

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zer­ti­fi­zierter Daten­schutz- und IT-Security Auditor (TÜV), 5 Jahre Pro­jekt­leiter für attri­butive Qua­li­täts­si­che­rungs­systeme mit sta­tis­ti­scher Pro­zess­kon­trolle in der Auto­mobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Pro­dukt­mar­keting und Service MS-Office-Pro­dukte und Doku­men­ten­or­ga­ni­sation im Geschäftsfeld Eigen­or­ga­ni­sation, seit 2000 tätig für Vor­stands-Kor­re­spondenz, Qua­li­täts­ma­nagement und Reporting in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG, seit 2002 dort als Fach­be­rater und Bereichs­be­auf­tragter zuständig für den Daten­schutz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.