IT-Sicherheit | Datenschutz

DSGVO, GDPR General data protection regulation european law cyber security personal information privacy concept

Der Schutz personenbezogener Daten wird auch durch den E-Commerce immer bedeutender. Die Akzeptanz der Online-Dienste hängt in einem hohen Maße von dem Umgang der Anbieter mit den Daten ihrer Kunden ab.

Die europäische Datenschutz-Grundverordnung (DSGVO) ist ein Meilenstein im Datenschutzrecht und hat weitreichende Auswirkungen. Im Amtsblatt der Europäischen Union wurde die DSGVO veröffentlicht und tritt 20 Tage nach der Veröffentlichung, also am 25. Mai 2016 in Kraft. Wirksam wurde die DSGVO nach einer Übergangsphase von zwei Jahren, d.h. am 25. Mai 2018.

Update 28. Juni: Änderung des Bundesdatenschutzgesetzes

Duch Änderungen im Bundesdatenschutzgesetz (BDSG) wird die Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Mehr zur Änderung und weitere Inhalte der zwei beschlossenen Gesetze zum Datenschutzrecht gibt es auf der Seite des Deutschen Bundestages (www.bundestag.de).

Information

Die neuen Datenschutzvorschriften bewirken, dass

Individuen eine bessere Kontrolle über ihre personenbezogenen Daten haben und
Unternehmen von Wettbewerbsgleichheit profitieren.

Die EU-Kommission veröffentlichte einen Leitfaden zur Anwendung der neuen Datenschutzgrundverordnung. Ein Online-Tool soll insbesondere KMU dabei unterstützen, die neuen Datenschutzbestimmungen richtig umzusetzen.

Die Regelungen betreffen:

Ein Unternehmen oder eine Einrichtung, welches oder welche personenbezogene Daten im Rahmen der Tätigkeiten einer in der EU ansässigen Zweigstelle verarbeitet, unabhängig davon, wo die Datenverarbeitung stattfindet oder
Ein Unternehmen, das außerhalb der EU ansässig ist und Waren/Dienstleistungen (bezahlt oder unentgeltlich) anbietet oder das Verhalten von Personen in der EU beobachtet.

Wenn Ihr Unternehmen personenbezogene Daten gemäß den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit keinerlei Risiko für Personen darstellt, gelten einige der Pflichten der Datenschutz-Grundverordnung für Sie nicht verbindlich (zum Beispiel die Ernennung eines Datenschutzbeauftragten). Beachten Sie, dass die "Kerntätigkeiten" Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Datenschutzbeauftragter

Der Datenschutzbeauftragte (DSB) eines Unternehmens sorgt im Auftrag der Unternehmensführung für die gesetzeskonforme Umsetzung des personenbezogenen Datenschutzes in der Firma. Das heißt, er schult die Mitarbeiter im Umgang mit Kundendaten, steht bei Anfragen als Ansprechpartner zur Verfügung und prüft im Vorfeld der Einführung neuer Geschäftsprozesse deren datenschutzrechtliche Relevanz und korrekte Umsetzung. Ebenfalls führt er eine Übersicht über die eingesetzten Verfahren.

Wer kann Datenschutzbeauftragter werden?

Unternehmen, bei denen regelmäßig mehr als neun Personen (inkl. Teilzeitmitarbeiter) mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, sind verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nach Art. 37 Abs. 7 DSGVO hat ein Verantwortlicher oder ein Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bittet die Verantwortlichen von einer Meldung in Papierform abzusehen und dies auf dem Meldeportals vorzunehmen:

https://www.lda.bayern.de/de/dsb-meldung.html

Wer kann Datenschutzbeauftragter werden?

Datenschutzbeauftragter können firmeninterne oder -externe Personen werden, die über ausreichende Kenntnisse verfügen und gleichzeitig bei ihrer Tätigkeit nicht in Interessenkonflikte kommen. Deshalb kann im Allgemeinen auch kein IT-Leiter Datenschutzbeauftragter werden, da er sich in bestimmten Bereichen selbst kontrollieren müsste.

Ist Datenschutz für Unternehmen nur Aufwand ohne Nutzen?

Da Kunden immer sensibler auf den Umgang Dritter mit ihren persönlichen Daten reagieren, kann die fahrlässige Verwendung zu einem verheerenden Imageschaden werden, wie einige Firmen bereits leidvoll feststellen mussten. Hier kann vorbildliches Verhalten Teil der Unternehmenskommunikation werden und somit das Vertrauen in die Seriosität des Unternehmens steigern.

Wie unterstützt die IHK?

Seit 1997 bietet die IHK mit dem Anwenderclub "Datenschutz und Informationssicherheit" eine Plattform für Datenschutzbeauftragte. Dreimal jährlich kommt der Anwenderclub zum Informations- und Erfahrungsaustausch zusammen. Über 80 Unternehmen nutzen dieses Forum, das gleichzeitig auch Erfa-Gruppe der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) für Nordbayern ist. Die Teilnahme ist kostenlos. Der Anwenderclub betreibt zudem ein elektronisches Forum, um aktuelle Informationen unter den Mitgliedern auszutauschen.

IHK-AnwenderClub Datenschutz und Informationssicherheit

Themen-Netzwerk

Der IHK-AnwenderClub „Datenschutz und Informationssicherung“ / GDD-Erfa-Kreis Nürnberg unterstützt den gegenseitigen Informations-, Erfahrungs- und persönlichen Gedankenaustausch zum Thema Datenschutz und Informationssicherheit. Ferner sollen die dafür verantwortlichen Stellen in den Unternehmen sensibilisiert werden.

Der IHK-AnwenderClub „Datenschutz und Informationssicherung“ / GDD-Erfa-Kreis Nürnberg steht vornehmlich Datenschutz- und Datensicherheitsbeauftragten aus Unternehmen des Wirtschaftsraumes Nordbayern offen. Derzeitige Mitglieder rekrutieren sich von Unternehmen wie z.B. Datev, Siemens, adidas, Nürnberger Versicherungsgruppe etc. sowie dem Landesamt für Datenschutzaufsicht in Ansbach.

Weitere Informationen

Handreichungen für kleine Unternehmen

Alle Arten von personenbezogenen Daten (pbD) werden durch die DSGVO geschützt und dies unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um

Mitarbeiter-,

Kunden- oder z. B.

Lieferantendaten handelt.

Für die DSGVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sog. „personenbezogenen Daten“ umgehen. Hierunter versteht man alle Informationen, die sich direkt oder indirekt (z. B. über eine Kennung) auf einen Menschen (sog. „identifizierte oder identifizierbare natürliche Person“ bzw. „Betroffener“) beziehen lassen.

Beispiele sind: Name, Anschrift sowie Kontaktdaten von Kunden, Vertragspartnern oder Mitarbeitern, Prüfungsnoten, Kontodaten, Daten über das Kaufverhalten eines Kunden, Standortdaten, das Geburtsdatum, Bonitätsdaten. Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze wie die DSGVO nicht zu beachten.
Als zentrale Pflicht wird über die DSGVO die sog. Rechenschaftspflicht eingeführt. Dies bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze:

Rechtmäßigkeit
Erarbeitung von Daten auf Basis einer Rechtsgrundlage (Einwilligung oder gesetzliche Ermächtigung)

Verarbeitung nach Treu und Glauben
Zweckgebundene und verhältnismäßige Datenverarbeitung, keine Verwendung verborgener Techniken

Transparenz
Keine „heimliche“ Verarbeitung, Gewährleistung der Wahrnehmung der Betroffenenrechte

Zweckbindung
Zweckfestlegung, d. h. Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke.
Zweckbindung ieS: Verbot der Verarbeitung personenbezogener Daten in einer Weise, die mit dem Erhebungszweck nicht mehr zu vereinbaren ist.

Datenminimierung
Beschränkung auf das für den Zweck der Verarbeitung angemessene, sachlich relevante und notwendige Maß

Richtigkeit der Daten
Verbot der Erhebung oder Speicherung von falschen Daten
Gebot der Aktualisierung unrichtig gewordener Daten und
Gebot der Löschung oder Berichtigung solcher Daten.

Speicherbegrenzung
Konkretisiert Datensparsamkeit in zeitlicher Hinsicht, d. h. eine Speicherdauer ist auf das „unbedingt erforderliche Mindestmaß“ zu beschränken.

Regelmäßige Prüfung der Zweckerreichung!

Integrität und Vertraulichkeit
Schutz der Unversehrtheit der Daten
Schutz der Daten vor unbefugter Kenntnisnahme/Verarbeitung
Sie sollten sich überlegen,

wie sie ihre Geschäftsprozesse datenschutzkonform gestalten und

wie sie dies effizient dokumentieren.

Die Rechenschaftspflicht setzt auch bei kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation voraus, um so die Einhaltung des Datenschutzes nachweisen zu können. Damit werden Unternehmen über ein Datenschutz-Managementsystem sicherstellen müssen, dass ihre Geschäftsprozesse datenschutzkonform sind.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept.
Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Dies gilt vor allem bei Verträgen über eine Auftragsverarbeitung. Beauftragende Unternehmen trifft hier eine Prüfpflicht. Sie dürfen nur solche Auftragsverarbeiter einsetzen, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
Die Verantwortung trägt das Unternehmen (sog. verantwortliche Stelle). Die DSGVO erweitert die Verantwortung des Unternehmens für Datenschutzverletzungen. Sie werden nicht nur wie bisher zur Verantwortung für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen des Unternehmens gezogen. Sie werden nach DSGVO zusätzlich für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten die Verantwortung im Außenverhältnis gegenüber dem Betroffenen tragen.

Auch bei Auftragsverarbeitungsverhältnissen wird es neue Haftungsszenarien geben. So wird ein Auftragsverarbeiter selbst wie ein Verantwortlicher nach DSGVO haften, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.
Umfangreiche Informationen zum Thema Datenschutz finden Sie auf unserer Homepage.

Ferner bietet das Bayerische Landesamt für Datenschutzaufsicht auf seiner Homepage für eine erste Selbsteinschätzung einen Onlinetest für Unternehmen an.

Weitere nützliche Links:

https://www.lda.bayern.de/de/datenschutz_eu.html

https://www.bitkom.org/Themen/Datenschutz-Sicherheit/Datenschutz-Sicherheit/index.jsp

http://www.beck-shop.de/Erste-Hilfe-Datenschutz-Grundverordnung-Unternehmen-Vereine/productview.aspx?product=21443886
Sammlung von Muster, Vorlangen und Formulierungshilfe zur EU-DSGVO
Meldung des Datenschutzbeauftragten (www.lda.bayern.de)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bittet von einer Meldung in Papierform abzusehen und diese auf dem Meldeportals vorzunehmen.

Verzeichnis von Verarbeitungstätigkeiten gem. Artikel 30 Abs. 1 DSGVO (www.lda.bayern.de)
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht).
Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Datenschutz-Verpflichtung von Beschäftigten (www.lda.bayern.de)
Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DS-GVO erfolgt.

Formulierungshilfen für Websitebetreiber nach den Vorgaben der DSGVO (www.uni-muenster.de)

Websites speichern inzwischen immer mehr Daten von Usern. Nicht nur durch Formulare oder Shop-Systeme, sondern auch über verschiedene eingebundene Tools und Funktionen (z. B. Google Analytics oder Facebook) werden Daten von Besuchern verarbeitet. Über die Nutzung und Speicherung der Daten muss der User laut DSGVO informiert werden.

Auftragsverarbeitung (www.lda.bayern.de)
Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO.
Sobald Sie Dienstleistungen (z. B. Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.

Datenschutzverletzungen, Meldung einer Datenpanne (www.lda.bayern.de)
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. zu Personal- oder Kundenkartendaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber innerhalb von 72 Stunden in Kenntnis zu setzen, betroffene Personen dagegen nur bei vorliegendem hohem Risiko (was eher selten der Fall ist).

Ansprechpartner

Dipl.-Ing. (FH) Richard Dürr

IT | Digitalisierung, eBusiness, Datenschutz, Technologietransfer
- richard.duerr@nuernberg.ihk.de
- 0911 1335-1320

Webcode: P258

IT-Sicherheit | Datenschutz

Update 28. Juni: Änderung des Bundesdatenschutzgesetzes

Die neuen Datenschutzvorschriften bewirken, dass

Die Regelungen betreffen:

Welche Aufgaben hat ein Datenschutzbeauftragter?

Wer kann Datenschutzbeauftragter werden?

Wer kann Datenschutzbeauftragter werden?

Ist Datenschutz für Unternehmen nur Aufwand ohne Nutzen?

Wie unterstützt die IHK?

IHK-AnwenderClub Datenschutz und Informationssicherheit

Handreichungen für kleine Unternehmen

Ansprechpartner

Dipl.-Ing. (FH) Richard Dürr