Datenschutz und IT-Sicherheit

I. Einleitung

Das Datenschutzrecht und die IT-Sicherheit sind für nahezu jedes Unternehmen von elementarer Bedeutung und sollten daher gerade im Zeitalter der Digitalisierung eine der obersten Prioritäten darstellen. Dabei stehen nicht nur der Schutz und dessen technische Realisierung personenbezogener Daten von Kunden und Geschäftspartnern im unmittelbaren Fokus, sondern ebenfalls derer von Mitarbeitern.

Aufgrund der Vielzahl von umfassenden Regelungen im Bundesdatenschutzgesetz und der ab Mai 2018 anwendbaren europäischen Datenschutzgrundverordnung, empfiehlt es sich für Unternehmen, sich zu einem frühestmöglichen Zeitpunkt mit der Thematik des Datenschutzrechts und der IT-Sicherheit auseinanderzusetzen, um so bestehende oder bevorstehende Regelungen des Gesetzgebers mittels Schulungen, unternehmensinterner Richtlinien und der Anpassung von Abläufen umsetzen zu können.

Wichtige Eckpunkte können hierbei, neben der Frage nach der Notwendigkeit und den Pflichten eines Datenschutzbeauftragten, die vertragliche Absicherung eines Auftragsdatenverarbeitungsverhältnisses (z.B. Beauftragung eines externen Dienstleisters mit der Vernichtung von Akten), die IT-Infrastruktur des Unternehmens oder die Sensibilisierung der Mitarbeiter auf datenschutzrechtliche Standards sein.

Im Bereich der IT-Sicherheit ist eine Zertifizierung auf Basis des IT-Grundschutzes nach ISO 27001, als internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (ISMS), möglich und macht diese besonders für international tätige Unternehmen interessant. Mithilfe von ISMS kann die Verfügbarkeit von IT-Systemen von Unternehmen erhöht sowie die Integrität und der Datenschutz betrieblicher Daten sichergestellt werden.

Weiterhin enthalten die BSI-Standards des Bundeamtes für Sicherheit in der Informationstechnik Empfehlungen zu Methoden, Prozessen und Verfahren mit Bezug zur Informationssicherheit.

Im Rahmen unserer regulären Tätigkeit stellen wir immer wieder fest, dass insbesondere hinsichtlich der nachfolgenden Punkte in den meisten Unternehmen akuter Handlungsbedarf besteht.

II. Einwilligung des Betroffenen

Viele Vorgänge der Verwendung von Daten benötigt eine Einwilligung des Betroffenen. Entsprechend des BDSG muss der Betroffene einer Datenerhebung, -verarbeitung und -nutzung freiwillig zustimmen. Zusätzlich ist er auf den Zweck der Datenerhebung sowie auf seine Rechte und auf die Folgen der Ablehnung der Einwilligung hinzuweisen. Eine entsprechende Erklärung muss dem Betroffenen immer gut erkenntlich sein, d.h. bei mehreren Erklärungen getrennt erklärt werden.

Grundsätzlich ist für die Einwilligung die Schriftform erforderlich, jedoch sind unter besonderen Umständen im Einzelfall Ausnahmen zulässig. Die Einwilligung muss durch den Betroffenen jederzeit widerrufen werden können.

III. Auftragsdatenverarbeitung

Bei einer Auftragsdatenverarbeitung handelt es sich um das Auslagern eines Datenverarbeitungsprozesses oder einzelner Teile eines solchen an einen externen Dienstleister. Dieser tritt hierbei als weisungsgebundener Gehilfe des Auftraggebers auf, welcher die Datenverarbeitung aufgrund und im Rahmen eines konkreten Auftrages durchführt. Auftragsdatenverarbeiter sind grundsätzlich schriftlich zu bestellen.

Vor dem Zustandekommen eines Auftragsdatenverarbeitungsverhältnisses ist der Auftraggeber grundsätzlich in der Pflicht den jeweiligen Auftragsdatenverarbeiter unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Zusätzlich ist dieser auf die Einhaltung der Regelungen des BDSG und weiterer datenschutzrechtlicher Normen zu überprüfen. Hierbei ist es im Interesse des Auftraggebers seinen (Kontroll-)Pflichten nachzukommen, da jedes Fehlerverhalten des Auftragsdatenverarbeiters zugleich dem Auftraggeber zugerechnet wird.

Typische Auftragsdatenverarbeitungsverhältnisse zwischen Unternehmen bestehen unter anderem bei der Vergabe von Druckereiaufträgen, in der Verwaltung und Fernwartung von Druckern und Multifunktionsgeräten sowie bei der Aktenvernichtung durch externe Dienstleister.

Hiervon abzugrenzen ist die Funktionsübertragung, welche die Zuständigkeitsauslagerung für einen gesamten Geschäftsprozess („Business Process Outsourcing“) beschreibt. Diese entspricht einer Datenübermittlung und bedarf somit grundsätzlich der Zustimmung des Betroffenen.

IV. Der Datenschutzbeauftragte eines Unternehmens

Sobald bei der automatisierten Datenverarbeitung ständig mehr als neun Personen oder bei der Verarbeitung auf andere Weise mindestens 20 Personen beschäftigt sind, sind Unternehmen dazu verpflichtet innerhalb eines Monats nach der Aufnahme ihre Tätigkeiten einen internen oder externen Datenschutzbeauftragten schriftlich zu bestellen. Dieser muss dabei die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen, wobei hierfür der Umfang der im Unternehmen getätigten Datenverarbeitung maßgeblich ist. Die Geschäftsführung ist dabei verpflichtet, den Datenschutzbeauftragten bei der Ausübung seiner Tätigkeiten zu unterstützen.

Zu dem Aufgabenspektrum eines Datenschutzbeauftragten gehört die Einwirkung auf die Einhaltung datenschutzrechtlicher Normen, die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen sowie die an der Verarbeitung personenbezogener Daten beteiligten Personen für den Datenschutz zu sensibilisieren und mit den besonderen Erfordernissen und den Normen des Datenschutzrechts vertraut zu machen.

Ein Grundbaustein bildet hierbei das individuell auf das Unternehmen zugeschnittene Datenschutzkonzept. Bei der Erstellung des Datenschutzkonzeptes sind die jeweiligen Rechtsgrundlagen der Verarbeitung, wie z.B. die Zulässigkeit der Verarbeitung, zu überprüfen. Des Weiteren sind interne und externe Verfahrensverzeichnisse zu erstellen und die datenschutzrechtlichen Grundprinzipien zu berücksichtigen.

Soweit für das Unternehmen keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, so hat der Leiter des Unternehmens die Erfüllung der Aufgaben des Datenschutzbeauftragten sicherzustellen.

 

Wir bitten um Ihr Verständnis, dass auch die „weiterführenden Informationen“ nur die grundlegenden Probleme der einzelnen Bereiche im Datenschutzrecht und der IT-Sicherheit ansprechen können und auch diese nur in den Grundzügen erläutern. Wir, die Rechtsanwälte von Merz & Stöhr, weisen darauf hin, dass die Lektüre der vorstehenden Ausführungen keine persönliche Rechtsberatung ersetzen kann, sondern lediglich eine erste Informationsgrundlage darstellt. Für ein solches persönliches Beratungsgespräch stehen wir Ihnen selbstverständlich jederzeit zur Verfügung. Als ausgebildete betriebliche Datenschutzbeauftragte stellen wir darüber hinaus auch unser fachliches Know-How für den praktischen Unternehmensalltag zur Verfügung und stehen für eine Übernahme dieser Tätigkeit in Ihrem Unternehmen bereit. Dabei sind wir grundsätzlich deutschlandweit aktiv. Im Bereich des Datenschutzrechts und der IT-Sicherheit konzentriert sich unsere Tätigkeit dabei vor allem auf den Freistaat Sachsen, insbesondere die Region Dresden (Chemnitz, Görlitz, Pirna, Mittweida, Zwickau, Kamenz, Meißen, Bautzen, Riesa, Freiberg, Leipzig etc.).

Ihr Ansprechpartner
Rechtsanwalt Richard Bode
Adresse
Comeniusstraße 109
01309 Dresden
Telefon 0 351 318 41 - 0
Email bode@merz-dresden.de

Ihr Ansprechpartner

RA Richard Bode
betrieblicher Datenschutz- beauftragter (TÜV-DSB); Banken- und Kapitalmarktrecht
Adresse

Merz & Stöhr Rechtsanwaltspartnerschaft mbB
Comeniusstraße 109
01309 Dresden

Telefon 0 351 318 41 - 0
Email bode@merz-dresden.de

Oder kontaktieren Sie uns ganz einfach über unser Kontaktformular.
zum Kontaktformular

Folgen Sie uns.

Veranstaltungen

Leider haben wir momentan keine Veranstaltungen für Sie.
zur Übersicht