- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Und dann noch die DSGVO


Ungleiche Voraussetzungen: Datensicherheit größte Herausforderung für den Mittelstand
Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen


- Anzeigen -





Von Manuel Bohé, Geschäftsführer Concepture

Auch wenn es darum geht die im Mai kommenden Jahres in Kraft tretende Datenschutz-Grundverordnung umzusetzen, spielt der kaum abzuschätzende Aufwand gerade für mittelständische Unternehmen eine wichtige Rolle. Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom haben erst 13 Prozent der befragten deutschen Unternehmen damit begonnen erste Maßnahmen umzusetzen. Jedes dritte Unternehmen hat sich noch gar nicht mit der anstehenden DSGVO beschäftigt. Neben der real bestehenden Rechtsunsicherheit ist es vor allem der unwägbare Aufwand bei der Umsetzung, der die befragten Firmen offensichtlich zurückschrecken lässt.

Lesen Sie zum Thema "Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom, warnt: "Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens." Den schwer abzuschätzenden Aufwand bewerten mehr als die Hälfte (52 Prozent) der Befragten als größte Hürde bei der Umsetzung der DSGVO. Ohne Mehraufwand wird es nicht gehen, davon gehen 35 Prozent aus, 20 Prozent sogar von einem erheblichen Mehraufwand. Dazu bemängeln die Teilnehmer an der repräsentativen Umfrage, dass es an praktischen Umsetzungshilfen fehlt bis hin zu Praxisleitfäden oder Handreichungen.

Kritische Töne betreffen noch einen anderen Bereich: Etliche Firmen gehen davon aus, dass die Geschäftsprozesse nun deutlich komplizierter werden, 14 Prozent sehen in der DSGVO sogar eine Gefahr für ihre Geschäftstätigkeit, 23 Prozent fürchten Wettbewerbsnachteile für europäische Firmen und stolze 36 Prozent sehen in ihr sogar eine Innovationsbremse.

Klärungsbedarf auch beim Thema Datenschutzbeauftragter
Im Rahmen der neuen Verordnung gibt es in vielerlei Hinsicht Klärungsbedarf. Dazu gehört auch die Frage wann genau Unternehmen einen Datenschutzbeauftragten benennen müssen.

In Artikel 37 sind prinzipiell drei Szenarien festgeschrieben: wenn die Kerntätigkeit
a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst,
b) sie eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen" beinhaltet oder
c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten.

Man darf getrost davon ausgehen, dass die meisten Firmen unter die zweite der genannten Kategorien fallen. Insbesondere die beiden Formulierungen "regelmäßige und systematische Überwachung" und "umfangreich" sind schon auf den ersten Blick mehrdeutig. Das sehen auch Juristen und DSGVO-Experten so.

Der Datenschutzbeauftragte in der DSGVO im Unterschied zum BDSG
Aber zunächst einen Schritt zurück. Denn das bestehende Bundesdatenschutzgesetz enthält bereits Vorgaben zur Rolle eines Datenschutzbeauftragten im Unternehmen.

Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen:

>> Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – ob fest, frei oder nur aushilfsweise beschäftigt, das spielt dabei keine Rolle; sobald die Daten am Computer verarbeitet werden, geht das Gesetz von der automatisierten Verarbeitung aus.

>> Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese – die Zahl der Beschäftigten spielt dann keine Rolle.

>> Das Unternehmen verarbeitet besonders sensible Daten – auch in diesem Fall ist die Zahl der Mitarbeiter unerheblich. Unter diese Klausel fallen zum Beispiel Gesundheitsdaten oder Daten zur Bonität (jüngstes Beispiel, welches Ausmaß und welche Eskalationsstufen ein Datenschutzvorfall in diesem Bereich annehmen kann: der Vorfall beim Credit Bureau Equifax)

>> Nach § 4g I 1 BDSG wirkt der Datenschutzbeauftragte darauf hin, dass das BDSG und andere Datenschutzvereinbarungen eingehalten werden. Die Umsetzung nimmt er aber nicht selbst vor, sondern er ist organisatorisch der Geschäftsleitung unterstellt. Genau das ändert sich mit der DSGVO und nach Art. 39 Abs. 1b). Demnach muss der Datenschutzbeauftragte nicht nur auf die Einhaltung hinwirken, sondern ihm obliegt eine umfassende Überwachungspflicht.

Die Artikel-29-Datenschutzgruppe
Unter der Artikel-29-Datenschutzgruppe versteht man den Zusammenschluss der nationalen Datenschutzbehörden in Europa. Ihnen ist nicht entgangenen, dass die nicht immer eindeutigen DSGVO-Vorgaben konkretisiert werden müssen. Die Gruppe fungiert dabei als eine Art übergeordnete Datenschutzbehörde, die Empfehlungen im Sinne der DSGVO abgeben und ganz nebenbei die nationalen Datenschutzbehörden einheitlich ausrichten soll. Dazu wurden erstmals Ende letzten Jahres Leitfäden veröffentlicht:

>> Guidelines on the right to "data portability", wp242rev.01

>> Guidelines on Data Protection Officers ('DPOs'), wp243rev.01

>>Guidelines on The Lead Supervisory Authority, wp244rev.01

Zuletzt wurden diese Leitlinien im April dieses Jahres überarbeitet. Wer die Entstehungsgeschichte der Datenschutzgrundverordnung mitverfolgt hat, der weiß, dass gerade die Bestimmungen zum Datenschutzbeauftragten zu den nicht unumstrittenen Klauseln gehörten. Fraglich war etwa, ob es für ein Unternehmen obligatorisch oder optional sein sollte, einen Datenschutzbeauftragten zu benennen. Und auch über die Grundvoraussetzungen war man sich uneins. So wurde beispielsweise diskutiert, ob die Mitarbeiterzahl eines Unternehmens ausschlaggebend sein sollte (mindestens 250 MA) oder die Anzahl der von einer Firma verarbeiteten personenbezogenen Datensätze (500). Die Beteiligten einigten sich zwar auf den obligatorischen Datenschutzbeauftragten, einen Schwellenwert wollte man aber nicht festlegen. Die Formulierung blieb mehrdeutig.

Für die Art.-29-Gruppe bedeutet "regelmäßig und systematisch", dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird. Bleibt noch die zweite wenig eindeutige Formulierung "umfangreich". Laut der Artikel-29-Gruppe in den Leitlinien sind vier verschiedene Faktoren zu berücksichtigen:

>> die Datenmenge

>> und/oder die Bandbreite der verarbeiteten Datenelemente

>> die Dauer oder Konstanz der Datenverarbeitungsvorgänge

>> die räumliche Ausdehnung der Verarbeitungsvorgänge

Man beginnt zu ahnen, wo der Gesetzgeber mit dieser Formulierung hin wollte. Alle diejenigen, die große Mengen personenbezogener Daten verarbeiten, sind in der Pflicht, einen Datenschutzbeauftragten zu benennen. Versicherungen und Banken sowie große Handelsketten beispielsweise.

Wenn man die Perspektive wechselt, ist heutzutage allerdings auch ein kleines Unternehmen mit wenigen Mitarbeitern in der Lage Überwachungsaktivitäten durchzuführen. Und man könnte zu dem Schluss kommen, dass jedes Unternehmen mit einer nur halbwegs gut besuchten Webseite zukünftig einen Datenschutzbeauftragten beschäftigen muss. Das können etwa Nachrichtenseiten und Portale sein, die ihren Nutzern kostenlos Informationen zur Verfügung stellen. Über die Webseite werden keine oder nur wenige personenbezogenen Daten erfasst. Die Browseraktivitäten werden in erster Linie über Cookies und andere Methoden getrackt. Trotzdem ist anhand der eingeblendeten Werbung gut zu erkennen wie "vertraut" die Seite mit den Surf- und Suchgewohnheiten des betreffenden Nutzers ist. Folgt man den in den Leitlinien gegebenen Empfehlungen zur DSGVO, ist eine derartige Online-Überwachung eine, die auch in den Bestimmungen zum Datenschutzbeauftragten vorkommt. Mit dieser und anderen Fragestellungen werden Juristen und Experten vermutlich noch eine Weile tu tun haben.

Trotz der einigermaßen erschreckenden Ergebnisse der Bitkom-Umfrage, bemühen sich Beratungsunternehmen, Juristen und DSGVO-Experten inzwischen gleichermaßen deutlich konkretere Hilfen zur praktischen Umsetzung der DSGVO-Anforderungen zur Verfügung zu stellen. Das gilt auch für das Anforderungsprofil eines Datenschutzbeauftragten. (Concepture: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 02.11.17


Concepture: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Schutz vor digitalen Attacken: Zehn Tipps

    Modern vernetzte Häuser bergen Risiken - ungeschütztes WLAN kann gehackt werden, was gefährliche Folgen haben kann. Es wird vor allem dann gefährlich, wenn das Haus mit vielen, mit dem "Internet der Dinge" (IoT) verbundenen Geräten ausgestattet ist. Eines dieser Geräte zu hacken, würde es Kriminellen ermöglichen, Zugriff auf das gesamte Netzwerk zu erhalten und intelligente Geräte zu steuern. Identitätsdiebstahl kann dann zur Übernahme von Bankkonten, Sozialversicherungsnummern oder anderen privaten Daten führen. Einige Methoden, die normalerweise dazu genutzt werden, Netzwerkprobleme zu erkennen und zu lösen, können in den Händen von Verbrechern zu mächtigen und leicht zu nutzenden Hacking-Werkeugen werden. "Sniffing" beispielsweise, ist eine Methode, die das Netzwerk täuscht, damit es Daten zuerst an den Computer des Hackers sendet und so Daten eines Netzwerkes sichtbar macht.

  • Hackerangriffe werden immer raffinierter

    Die Anzahl von Cyber-Attacken steigt ebenso rasant wie deren Variantenreichtum: Egal ob Phishing-Links, die Weiten des Darknets oder Malware - Hackerangriffe werden immer raffinierter, ihre Folgen immer schwerwiegender. Unternehmen stehen vor großen Herausforderungen, entsprechende Maßnahmen zu treffen und ihre Daten zu schützen. Im Expertentipp gibt Björn Blatt, Geschäftsführer der readypartner GmbH und Experte für Digital-Strategie und digitale Wirtschaft sowie Spezialist für Cloud- und Kommunikationsservices, Tipps, wie Unternehmen sich und ihre Daten vor Cyber-Attacken bewahren.

  • Tipps für eine bessere Sicherheit des Smart Home

    Sophos präsentiert gemeinsam mit Koramis Ergebnisse des Forschungsprojekts "Haunted House". Aktuelle Zahlen zeigen mehr als 70.000 Zugriffsversuche von 24.089 einzelnen IPS auf das virtuelle Haus. Hiermit wird deutlich: Das Haunted House ist kein einmaliges Geisterphänomen sondern eine dauerhafte Gefahr für private Smart Homes - sofern diese nicht fachgerecht eingerichtet sind. Und dies ist nur die eine Seite des Spuks: Parallel zu den Zugriffsversuchen auf das "Haunted House" erforscht das Projekt mithilfe von Suchmaschinen wie Shodan oder Cenys auch, wie viele Smart Home Komponenten mehr oder weniger einfach über das Internet zugänglich sind. Ein im Oktober hierfür gestarteter Scan fand bis heute mehr als 68.000 offene Web-Schnittstellen von bekannten Smart-Home-Komponenten, die vor allem in Privathaushalten eingesetzt werden.

  • TLS-Verschlüsselung keine Herausforderung

    Die Sicherheitslücke "KRACK" in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können. Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt. Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

  • Sicherheitsrisiken minimieren

    Eine nachlässig gepflegte IT-Infrastruktur macht es Hackern leicht, an wichtige Firmendaten zu kommen. Der weltweit agierende Sicherheitsspezialist Trustwave verrät, welche neun Arbeitsschritte jedes Unternehmen durchführen sollte, um Sicherheitsrisiken auf ein Minimum zu reduzieren und Eindringlinge so schnell wie möglich aufzuspüren. Im Regelfall ist es für Cyberkriminelle ein Leichtes, Malware und andere Schadprogramme ins Netzwerk einzuschleusen. Schuld an Datenpannen sind oft ungepatchte Anwendungen, schwache Passwörter oder Mitarbeiter, die auf eine Phishing-Nachricht hereinfallen. Es gibt aber ausreichend Möglichkeiten, die Sicherheitsrisiken zu minimieren.