Was tun?

professioneller Datenschutz von Anfang an...



Pasted Graphic

Was ist zu tun?

Als Basis muss die Geschäftsleitung / Vorstand folgendes hinsichtlich der einzuhaltenden Maßnahmen zur IT- Sicherheit schaffen und einhalten. (Datenschutz Compliance)

Diese werden u.a. von folgenden Aufgaben abgeleitet:

Strategische Aufgaben ✔︎

Konzeptionelle Aufgaben ✔︎

Operative Aufgaben ✔︎

Pflichten seitens des Unternehmens ✔︎

Die Einhaltung der rechtlichen Vorschriften ist besonders im Bereich der IT relevant, wo es sowohl um die Verarbeitung von personenbezogen - Daten geht als auch die Sicherheit der gesamten IT- Infrastruktur des Unternehmens. Hierbei müssen eine Reihe von Maßnahmen beachtet und technische organisatorische Maßnahmen nach § 9 BDSG eingesetzt bzw. umgesetzt werden.

Was bedeutet Datenschutz eigentlich?

Um Datenschutz im Unternehmen adäquat implementieren zu können, muss erst klar sein,
was Datenschutz bedeutet und umfasst. Ein weit verbreiteter Irrglaube leitet sich aus dem
Wortstamm ab: „Daten schützen“. Dabei sollen nicht die Daten per se Schutz erfahren!

Vielmehr ist es die Person, die hinter den Datensätzen steckt, über welche der Datenschutz seine Hand hält.
Der Grundtenor ist auch den einschlägigen Gesetzestexten des deutschen Bundesdatenschutzgesetzes (BDSG)
sowie der Europäischen Datenschutzrichtlinie zu entnehmen:

„Zweck […] ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten
in seinem Persönlichkeitsrecht beeinträchtigt wird“ (§1 Abs. 1 BDSG)"

„Die Mitgliedstaaten gewährleisten […] den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz
der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.“ (Art 1, Richtlinie 95/46 EG)"
Datenschutz basiert somit auf dem allgemeinen Persönlichkeitsrecht und der informationellen Selbstbestimmung,
welche unantastbar in den Artikeln 1 und 2 des Grundgesetzes verankert sind.

Das Bundesverfassungsgericht bestärkte im berühmten Urteil zur Volkszählung vom Dezember 1983 das
Selbstbestimmungsrecht als Kernstück des Datenschutzes. Der Schutz personenbezogener Daten geht demnach
jeden Einzelnen an, sowohl in der Rolle des zu Schützenden als auch des Schützers

Technische Maßnahmen zum Datenschutz §9 BDSG ✔︎

Regelungen zum ordnungsgemäßen Umgang mit IT-Hardware finden sich insbesondere im Bundesdatenschutzgesetz (BDSG). Nach §9 BDSG ist jedes Unternehmen, das personenbezogene Daten erhebt, verarbeitet oder nutzt, dazu verpflichtet, die technischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu gewährleisten. Insbesondere sind hiernach Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, Verstöße gegen das Bundesdatenschutzgesetz (BDSG) können nach §§ 6, 7, 34 und 35 BDSG u.a. Schadensersatzansprüche auslösen oder nach § 43 und 44 BDSG sogar Bußgelder bis zu 300.000,- Euro oder im Ermessen der zuständigen Datenschutz- Aufsichtsbehörde auch darüber, oder eine Freiheitsstrafe bis zu 2 Jahren nach sich ziehen. Sorgfaltspflichten beim IT-Outsourcing in Verbindung mit dem §11 BDSG Bundesdatenschutzgesetz (BDSG) .

Wer personenbezogene Daten von einem Vertragspartner / Dienstleister verarbeiten lässt (z.B. im Rahmen des IT-Outsourcing), so ist zudem § 11 BDSG zu beachten. Hiernach ist der Vertragspartner unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen (§9 BDSG). Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.

Sehr wichtig ist hierbei, dass der Auftraggeber sich von der Einhaltung der beim Vertragspartner getroffenen technischen und organisatorischen Maßnahmen nach §9 Bundesdatenschutzgesetz (BDSG) zu überzeugen hat. Hierbei heißt es zwar nicht, dass sich die verantwortliche Stelle vor Ort bei Auftragnehmer überzeugen muss, die beim Auftragnehmer eingesetzten technischen und organisatorischen Maßnahmen sind aber zu überprüfen und zu dokumentieren da dies Bestandteil der Auftragsdatenverarbeitung nach §11 Bundesdatenschutzgesetz (BDSG) ist.

§ 11 Absatz 1 BDSG (Auftragsdatenverarbeitung) ✔︎

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

Die verantwortliche Stelle bedient sich im Falle von § 11 BDSG einer anderen Stelle, die für sie im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet oder nutzt. Die Auftrag gebende Stelle bleibt im vollen Umfang für den Umgang mit ihren personenbezogenen Daten beim Dienstleister verantwortlich. Datenbewegungen zwischen Auftraggeber und Auftragnehmer stellen keine Datenübermittlungen im Sinne des BDSG dar (vgl. insoweit § 3 Abs. 8 Satz 3 BDSG). Sie werden gesetzlich einer internen Nutzung gleichgestellt und insoweit privilegiert.

Beispiele:


Die Übermittlung von Daten ins Ausland stellt lediglich innerhalb der Europäischen Union (EU) oder in Länder mit angemessenen Datenschutz kein Problem dar, es muss aber dennoch ein Vertrag nach §11 BDSG abgeschlossen werden. Bei einem Datentransfer (export) in Drittstaaten (z. B. USA) sind allerdings erheblich höhere Hürden zu überwinden, was durch die Unterwerfung unter die »Safe Harbor Príncipes« oder den Abschluss von EU-Standartklauseln erfolgen kann.

Gegenüber der Übermittlung innerhalb EU/EWR und Länder mit angemessenen Datenschutzniveau ist das Verfahren für die sog. »Binding Corporate Rules« in einem internationalen Unternehmensverbund als dritte Alternative noch sehr aufwendig. Möglicherweise wird die EU-Datenschutzverordnung längerfristig dieses Verfahren vereinfachen.

Zu beachten ist allerdings, dass beim Drittlandverkehr die Auftragsdatenverarbeitung nicht privilegiert ist!

🔊

Pressemitteilung „BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT“
Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden📍
Auszug:
Wer andere für sich mit personenbezogenen Daten arbeiten lässt, muss darüber Kraft Gesetzes einen ziemlich detaillierten Vertrag schließen. Wird so ein Vertrag nicht oder unzureichend abgeschlossen, droht ein Bußgeld. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Einrichtung eines Überwachungssystems ✔︎

Innerhalb der ganzen Thematik ist ebenfalls das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu beachten. Gemäß diesem Gesetz wurde z.B. § 91 II AktG geändert. Hiernach hat der Vorstand geeignete Maßnahmen zu treffen, damit die erforderlichen Handelsbücher geführt werden. Ausdrücklich wird hier die Pflicht statuiert, ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden, diese Pflicht ist auch auf den Geschäftsführer der GmbH zu übertragen. Auch der Pflicht zur Einrichtung eines Überwachungssystems ergibt sich, dass zur Vermeidung von wirtschaftlichen Schäden auf im Hinblick auf die IT-Infrastruktur ein sicheres Abwehr- und Datensicherungssystem u.a. nach §9 Bundesdatenschutzgesetz (BDSG) zu integrieren ist, welches den Verlust und die ungewollte Veränderung - sei es durch unbefugte Dritte oder fahrlässige Mitarbeiter - frühzeitig verhindern kann.

Relevant ist bei §91 AktG zudem, dass eine Kontrolle obiger Umsetzungsmaßnahmen durch den Abschlussprüfer nach § 317 IV HGB im Rahmen der Jahresabschlussprüfung erfolgen kann, was bei Fehlverhalten des Vorstandes zur Entlassung durch den Aufsichtsrat führen könnte. Zuwiderhandlungen gegen die Pflicht zur Einrichtung eines Überwachungssystems können mit Schadensersatzansprüchen gegen Vorstand bzw. Geschäftsführung nach § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG (persönliche Haftung!) geahndet werden. Hinzu kommen weitere sich daraus ergebende Risiken:

So kann der Versicherungsschutz entfallen, wenn etwa auf notwendige Kontroll- oder Erkennungssysteme verzichtet wurde. Hier werden nicht selten Zertifikate zur IT-Sicherheit verlangt. Schließlich kann die Nachlässigkeit bei der Einrichtung eines Überwachungssystems dazu führen, dass das eigene Unternehmensrating schlechter ausfällt, was unmittelbare Wirkung auf die Konditionen der Fremdmittelvergabe hat.

Betriebsverfassungsgesetz (BetrVG) speziell Teil 4 des BetrVG ✔︎

Im Bereich der Organisation ist auch das Betriebsverfassungsgesetz zu beachten!

Nach 87 I Nr. 6 BetrVG hat der Betriebsrat darüber hinaus ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Hier ist auch der Datenschutzbeauftragte zu unterrichten, da diese Verfahren die seitens des Unternehmens oder des Dienstleisters eingesetzt werden wiederum der Meldepflicht bzw. Prüfung unterliegen , sowie in einer Betriebsvereinbarung geregelt werden müssen.

Im Rahmen der IT-Compliance ist daher zu beachten, dass Maßnahmen zur Einführung oder Änderung von IT-Systemen immer auch mit dem Betriebsrat abgestimmt sein sollten, um nicht später einen Streit vor dem Arbeitsgericht zu provozieren und ggf. einzelne Maßnahmen rückgängig machen zu müssen.

Elektronische Archivierung ✔︎

Archivierung von Dokumenten unter Berücksichtigung von gesetzlichen Anforderungen.

Elektronische Dokumente sind - ebenso wie papiergebundene Dokumente - revisionssicher aufzubewahren. Es gelten hier zunächst die allgemeinen Vorschriften des § 257 HGB und § 147 AO. Nach § 257 III HGB können Handelsbücher, Inventare, Lageberichte, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, die empfangenen Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe und Belege für Buchungen (Buchungsbelege) elektronisch archiviert werden. Sie müssen während der Aufbewahrungsfrist (Handelsbriefe 6 Jahre, sonstigen Unterlagen 10 Jahre) verfügbar sein und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Ähnliche Pflichten bestehen im Steuerrecht nach § 147 II AO.

Zusätzlich zu den allgemeinen Pflichten bestehen jedoch spezielle Anforderungen an die elektronische Archivierung. Anwendbar sind hier die Grundsätze ordnungsgemäßer IT-gestützter Buchführungssysteme (GoBD) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GoBD).
Nach der GoBD müssen sämtliche zu archivierende, elektronische Dokumente mit einem unveränderbaren Index versehen werden. Die Einrichtung einer Volltextsuche reicht hierfür nicht aus. Weiterhin müssen Geschäftsvorfälle richtig, vollständig und zeitgerecht erfasst sein und sich in ihrer Entstehung und Abwicklung verfolgen lassen (Beleg-, Journalfunktion). Sie sind so zu verarbeiten, dass sie geordnet darstellbar sind und einen Überblick über die Vermögens- und Ertragslage gewährleistet ist (Kontofunktion). Zur Übersicht ist eine Verfahrensdokumentation anzufertigen.

Das Verfahren zur Wiedergabe der digitalen Unterlagen in einer Arbeitsanweisung schriftlich niederzulegen. Sowohl die gespeicherten Buchungen sowie die Arbeitsanweisungen müssen jederzeit innerhalb angemessener Frist lesbar gemacht werden können und die hierfür erforderlichen, technischen Hilfsmittel bereitzuhalten.   Auch die GDPdU stellen Regeln für die Prüfbarkeit von digitalen, steuerrelevanten Dokumenten dar, damit eine ordnungsgemäße Steuerprüfung gewährleistet werden kann. Hiernach sind elektronische, steuerrelevante Dokumente auf maschinell verwertbaren Datenträgern zu archivieren.

Eine Aufzeichnung auf Mikrofilm reicht daher nicht aus, ebenso wenig die Speicherung in - maschinell nicht lesbaren - PDF-Dateien. Soweit es allerdings nur um Textdokumente geht - die nicht zur Weiterverarbeitung in einem IT-gestützten Buchführungssystem geeignet sind - entfällt die Pflicht zur Archivierung auf maschinell verwertbaren Datenträgern.

Zum Thema E-Mail-Archivierung hat das Bundsfinanzministerium eine Richtlinie herausgegeben, die E-Mails den originär digitalen Dokumenten gleichstellt. Auch E-Mails müssen daher maschinell auswertbar vorgehalten werden. Es gelten hier auch die Regeln des GoBS, so dass ein unveränderbarer Index zu erstellen ist, unter dem sie bearbeitet und verwaltet werden können. Es empfiehlt sich daher, sämtliche E-Mails, die selbst oder im Anhang steuerrelevante Informationen enthalten, mit einem unveränderbaren Index zu versehen, unter dem das archivierte Dokument verarbeitet und verwaltet werden kann.

Um die Vollständigkeit der Archivierung zu gewährleisten, werden häufig Aufgrund der im Unternehmen eingesetzte Technik, alle E-Mails sofort bei Ein- und Ausgang archiviert. So wird gleichzeitig möglichen Manipulationen vorgebeugt, da Mitarbeiter die digitale Post vor der Archivierung weder verändern noch löschen können.

Diese Strategie der eingesetzten Archivierung kann jedoch in Konflikt mit den Datenschutzrichtlinien stehen. Ist den Arbeitnehmern beispielsweise die private E-Mail-Nutzung gestattet, unterliegt der Arbeitgeber als Telekommunikationsanbieter dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikationsgesetz (TKG)


Untersagung der privaten E-Mail-Nutzung ✔︎

Zur Lösung des nicht zu unterschätzenden Problems sollte die private E-Mail-Nutzung untersagt oder die ausschließliche Nutzung externer E-Mail-Dienste (Web Mail) vorgeschrieben werden. Um juristisch auf der sicheren Seite zu sein, muss dies schriftlich fixiert, kontrolliert und konsequent durchgesetzt sowie auf Einhaltung kontrolliert werden.

Die schriftliche Fixierung kann z.B. in Richtlinien betreffend der Nutzung der firmeneigenen IT- Infrastruktur, in einer Betriebsvereinbarung, einer Einverständniserklärungen der jeweiligen Mitarbeiter erfolgen.

Problem: Telekommunikationsgesetz (TKG)

Sobald ein Arbeitgeber seinen Beschäftigten die private Nutzung von Internet oder E-Mail erlaubt, erbringt er ihnen gegenüber geschäftsmäßig Telekommunikationsdienste, § 3 Nr. 6 TKG.

§ 3 Nr. 6 TKG: ✔︎

"Diensteanbieter" jeder, der ganz oder teilweise geschäftsmäßig
a) Telekommunikationsdienste erbringt oder
b) an der Erbringung solcher Dienste mitwirkt;

Dies trifft dann auf das Unternehmen bzw. dem Arbeitgeber zu! , wenn er den Mitarbeitern diese Dienste zur Nutzung anbietet!

Dabei kommt es nicht darauf an, ob der Arbeitgeber die private Nutzung gegenüber seinen Mitarbeitern abrechnet. Der Arbeitgeber ist den Beschäftigten gegenüber Diensteanbieter nach dem Telekommunikationsgesetz (TKG) und somit zur Einhaltung des Fernmeldegeheimnisses verpflichtet.

Der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, unterliegen dem Fernmeldegeheimnis. Gemäß § 88 Abs. 3 TKG ist es dem Diensteanbieter untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.

Die Verpflichtung zum Schutz des Fernmeldegeheimnisses gilt nicht nur für Telekommunikationsunternehmen, die ihre Dienste der Öffentlichkeit anbieten, sondern ebenso für Unternehmen, die betriebliche Telekommunikation auch für private Zwecke ihrer Mitarbeiter zur Verfügung stellen.

Compliance ✔︎

Bei der Compliance geht es um die Schaffung eines Systems zur Sicherung der Einhaltung gesetzlicher und vertraglicher Regelungen. Die Flut an gesetzlichen - sich regelmäßig ändernden - Vorschriften führt dazu, dass Unternehmen vermehrt Mitarbeiter allein auf die Aufgabe verpflichten, die Einhaltung von gesetzlichen Regelungen zu überprüfen.

Die Untergruppe des IT-Compliance betrifft nun die Einhaltung von gesetzlichen und vertraglichen Regelungen betreffend der IT-Landschaft im Unternehmen. Der Begriff kann definiert werden als Überwachung und dauerhafter Nachweis der Einhaltung von gesetzlichen Regelungen und selbst auferlegten Unternehmensprinzipien von und mit IT-Anwendungen. So schreiben umfangreiche Vorschriften vor, welche Sicherheitsstandards bei dem Serverbetrieb bestehen müssen oder welche Daten langfristig gespeichert werden dürfen.

Die IT-Compliance beschreibt also in der Unternehmensführung was die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft betrifft, sowie was dafür umgesetzt werden muss.

Der Schwerpunkt der IT-Compliance als Teilbereich liegt auf denjenigen Aspekten von Compliance-Anforderungen, welche wiederum die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich die Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und der Datenschutz. Im Bereich Datenschutz kann wiederum auf den §9 Bundesdatenschutzgesetzt (BDSG) verweisen werden, der die Regelungen u.a. im Bereich der IT- Sicherheit beschreibt.

Es ist geregelt, wann ein Datenschutzbeauftragter (DSB) zu bestellen ist und welche Dokumentationspflichten in der IT-Abteilung bestehen. In vertraglicher Hinsicht geht es zudem um effektives Lizenzmanagement um zu vermeiden, dass einzelne Softwareprogramme ohne ausreichende Lizenz verwendet werden, was zu erheblichen Schadensersatzansprüchen führen kann.

In Empfehlungen einzelner Datenschutzaufsichtsbehörden wird hierbei sogar auf etablierte Standards für die IT-Sicherheit bzw. zur Abwicklung von IT-Projekten verwiesen (IT-Grundschutz, ISO 27001) sowie auf die Revision der Datenverarbeitung.

Somit unterliegen die Unternehmen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen sowie auch Imageschäden führen kann. Um dies jedoch zu Verhindern, muss die Unternehmensleitung die rechtlichen Erfordernisse als integralen Bestandteil der Unternehmenscompliance umsetzten.


Vorteil ✔︎
Die Schaffung eines IT-Compliance-Systems hat umfangreiche Vorteile. So geht es für die Verantwortlichen in erster Linie um eine persönliche Haftung, denn Geschäftsführer einer GmbH haften beispielsweise nach § 43 GmbHG persönlich für die Einhaltung von gesetzlichen Regelungen.


Sehen Sie sich mein Portfolio an, oder nehmen Sie mit mir Kontakt auf!