- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Und dann noch die DSGVO


Ungleiche Voraussetzungen: Datensicherheit größte Herausforderung für den Mittelstand
Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen


- Anzeigen -





Von Manuel Bohé, Geschäftsführer Concepture

Auch wenn es darum geht die im Mai kommenden Jahres in Kraft tretende Datenschutz-Grundverordnung umzusetzen, spielt der kaum abzuschätzende Aufwand gerade für mittelständische Unternehmen eine wichtige Rolle. Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom haben erst 13 Prozent der befragten deutschen Unternehmen damit begonnen erste Maßnahmen umzusetzen. Jedes dritte Unternehmen hat sich noch gar nicht mit der anstehenden DSGVO beschäftigt. Neben der real bestehenden Rechtsunsicherheit ist es vor allem der unwägbare Aufwand bei der Umsetzung, der die befragten Firmen offensichtlich zurückschrecken lässt.

Lesen Sie zum Thema "Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom, warnt: "Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens." Den schwer abzuschätzenden Aufwand bewerten mehr als die Hälfte (52 Prozent) der Befragten als größte Hürde bei der Umsetzung der DSGVO. Ohne Mehraufwand wird es nicht gehen, davon gehen 35 Prozent aus, 20 Prozent sogar von einem erheblichen Mehraufwand. Dazu bemängeln die Teilnehmer an der repräsentativen Umfrage, dass es an praktischen Umsetzungshilfen fehlt bis hin zu Praxisleitfäden oder Handreichungen.

Kritische Töne betreffen noch einen anderen Bereich: Etliche Firmen gehen davon aus, dass die Geschäftsprozesse nun deutlich komplizierter werden, 14 Prozent sehen in der DSGVO sogar eine Gefahr für ihre Geschäftstätigkeit, 23 Prozent fürchten Wettbewerbsnachteile für europäische Firmen und stolze 36 Prozent sehen in ihr sogar eine Innovationsbremse.

Klärungsbedarf auch beim Thema Datenschutzbeauftragter
Im Rahmen der neuen Verordnung gibt es in vielerlei Hinsicht Klärungsbedarf. Dazu gehört auch die Frage wann genau Unternehmen einen Datenschutzbeauftragten benennen müssen.

In Artikel 37 sind prinzipiell drei Szenarien festgeschrieben: wenn die Kerntätigkeit
a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst,
b) sie eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen" beinhaltet oder
c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten.

Man darf getrost davon ausgehen, dass die meisten Firmen unter die zweite der genannten Kategorien fallen. Insbesondere die beiden Formulierungen "regelmäßige und systematische Überwachung" und "umfangreich" sind schon auf den ersten Blick mehrdeutig. Das sehen auch Juristen und DSGVO-Experten so.

Der Datenschutzbeauftragte in der DSGVO im Unterschied zum BDSG
Aber zunächst einen Schritt zurück. Denn das bestehende Bundesdatenschutzgesetz enthält bereits Vorgaben zur Rolle eines Datenschutzbeauftragten im Unternehmen.

Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen:

>> Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – ob fest, frei oder nur aushilfsweise beschäftigt, das spielt dabei keine Rolle; sobald die Daten am Computer verarbeitet werden, geht das Gesetz von der automatisierten Verarbeitung aus.

>> Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese – die Zahl der Beschäftigten spielt dann keine Rolle.

>> Das Unternehmen verarbeitet besonders sensible Daten – auch in diesem Fall ist die Zahl der Mitarbeiter unerheblich. Unter diese Klausel fallen zum Beispiel Gesundheitsdaten oder Daten zur Bonität (jüngstes Beispiel, welches Ausmaß und welche Eskalationsstufen ein Datenschutzvorfall in diesem Bereich annehmen kann: der Vorfall beim Credit Bureau Equifax)

>> Nach § 4g I 1 BDSG wirkt der Datenschutzbeauftragte darauf hin, dass das BDSG und andere Datenschutzvereinbarungen eingehalten werden. Die Umsetzung nimmt er aber nicht selbst vor, sondern er ist organisatorisch der Geschäftsleitung unterstellt. Genau das ändert sich mit der DSGVO und nach Art. 39 Abs. 1b). Demnach muss der Datenschutzbeauftragte nicht nur auf die Einhaltung hinwirken, sondern ihm obliegt eine umfassende Überwachungspflicht.

Die Artikel-29-Datenschutzgruppe
Unter der Artikel-29-Datenschutzgruppe versteht man den Zusammenschluss der nationalen Datenschutzbehörden in Europa. Ihnen ist nicht entgangenen, dass die nicht immer eindeutigen DSGVO-Vorgaben konkretisiert werden müssen. Die Gruppe fungiert dabei als eine Art übergeordnete Datenschutzbehörde, die Empfehlungen im Sinne der DSGVO abgeben und ganz nebenbei die nationalen Datenschutzbehörden einheitlich ausrichten soll. Dazu wurden erstmals Ende letzten Jahres Leitfäden veröffentlicht:

>> Guidelines on the right to "data portability", wp242rev.01

>> Guidelines on Data Protection Officers ('DPOs'), wp243rev.01

>>Guidelines on The Lead Supervisory Authority, wp244rev.01

Zuletzt wurden diese Leitlinien im April dieses Jahres überarbeitet. Wer die Entstehungsgeschichte der Datenschutzgrundverordnung mitverfolgt hat, der weiß, dass gerade die Bestimmungen zum Datenschutzbeauftragten zu den nicht unumstrittenen Klauseln gehörten. Fraglich war etwa, ob es für ein Unternehmen obligatorisch oder optional sein sollte, einen Datenschutzbeauftragten zu benennen. Und auch über die Grundvoraussetzungen war man sich uneins. So wurde beispielsweise diskutiert, ob die Mitarbeiterzahl eines Unternehmens ausschlaggebend sein sollte (mindestens 250 MA) oder die Anzahl der von einer Firma verarbeiteten personenbezogenen Datensätze (500). Die Beteiligten einigten sich zwar auf den obligatorischen Datenschutzbeauftragten, einen Schwellenwert wollte man aber nicht festlegen. Die Formulierung blieb mehrdeutig.

Für die Art.-29-Gruppe bedeutet "regelmäßig und systematisch", dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird. Bleibt noch die zweite wenig eindeutige Formulierung "umfangreich". Laut der Artikel-29-Gruppe in den Leitlinien sind vier verschiedene Faktoren zu berücksichtigen:

>> die Datenmenge

>> und/oder die Bandbreite der verarbeiteten Datenelemente

>> die Dauer oder Konstanz der Datenverarbeitungsvorgänge

>> die räumliche Ausdehnung der Verarbeitungsvorgänge

Man beginnt zu ahnen, wo der Gesetzgeber mit dieser Formulierung hin wollte. Alle diejenigen, die große Mengen personenbezogener Daten verarbeiten, sind in der Pflicht, einen Datenschutzbeauftragten zu benennen. Versicherungen und Banken sowie große Handelsketten beispielsweise.

Wenn man die Perspektive wechselt, ist heutzutage allerdings auch ein kleines Unternehmen mit wenigen Mitarbeitern in der Lage Überwachungsaktivitäten durchzuführen. Und man könnte zu dem Schluss kommen, dass jedes Unternehmen mit einer nur halbwegs gut besuchten Webseite zukünftig einen Datenschutzbeauftragten beschäftigen muss. Das können etwa Nachrichtenseiten und Portale sein, die ihren Nutzern kostenlos Informationen zur Verfügung stellen. Über die Webseite werden keine oder nur wenige personenbezogenen Daten erfasst. Die Browseraktivitäten werden in erster Linie über Cookies und andere Methoden getrackt. Trotzdem ist anhand der eingeblendeten Werbung gut zu erkennen wie "vertraut" die Seite mit den Surf- und Suchgewohnheiten des betreffenden Nutzers ist. Folgt man den in den Leitlinien gegebenen Empfehlungen zur DSGVO, ist eine derartige Online-Überwachung eine, die auch in den Bestimmungen zum Datenschutzbeauftragten vorkommt. Mit dieser und anderen Fragestellungen werden Juristen und Experten vermutlich noch eine Weile tu tun haben.

Trotz der einigermaßen erschreckenden Ergebnisse der Bitkom-Umfrage, bemühen sich Beratungsunternehmen, Juristen und DSGVO-Experten inzwischen gleichermaßen deutlich konkretere Hilfen zur praktischen Umsetzung der DSGVO-Anforderungen zur Verfügung zu stellen. Das gilt auch für das Anforderungsprofil eines Datenschutzbeauftragten. (Concepture: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 02.11.17


Concepture: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorhandene Sicherheitseinstellungen aktivieren

    Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz ihrer Geräte vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Denn was Sicherheitseinstellungen betrifft, bekommen Heimanwender nicht immer ein Rundum-Sorglos-Paket mitgeliefert. Ungeschützt kann ein Router Angreifern Tür und Tor öffnen. Dabei tragen schon einige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern. Eset gibt Tipps, wie Nutzer ihren Router sichern und so ihre Geräte und persönliche Daten noch besser schützen können.

  • Ransomware & Sicherheit am Arbeitsplatz

    Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Stormshield informiert auf seinem Unternehmensblog über die perfiden Maschen der Angreifer und gibt nützliche Tipps zur Abwehr von betrügerischer Schadsoftware (Malware).

  • Fake-Profile und Schadsoftware

    Wer auf einen Treffer von Amors Pfeil wartet, sucht sein Glück inzwischen oft online, insbesondere bei Dating-Apps. Nicht umsonst gilt LOVOO als die aktuell erfolgreichste iPhone-App in Deutschland. Laut Bitkom nutzen rund 47 Prozent der Deutschen ihr Smartphone für den Onlineflirt, 42 Prozent ihr Tablet und immerhin noch 34 Prozent suchen mit dem Laptop nach einem potentiellen Partner. Doch beim heißen Online-Flirt gibt es einiges zu beachten, damit die Partnersuche so sicher wie möglich verläuft. Eset gibt Tipps, damit aus der vermeintlichen großen Liebe keine böse Überraschung wird.

  • Gezielte Lobbyarbeit der Elektrobranche?

    "Müssen wir Brandschutzschalter im RZ installieren und/oder nachrüsten? Wie viele und an welchen Stellen?" Diese Frage stellen sich mehr und mehr Rechenzentrumsbetreiber und -verantwortliche, die durch den zurzeit zu beobachtenden Hype rund um diese Sicherheitstechnik verunsichert sind. Die Antwort der von zur Mühlen'sche Sicherheitsberatung aus Bonn (kurz: VZM) lautet: in zwingender Weise KEINE.

  • Was macht Cybersecurity so kompliziert?

    Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins aus. Doch was macht Cybersecurity so kompliziert? Im Falle von Spectre und Meltdown handelt es sich zwar um Schwachstellen in Prozessoren. Doch in vielen anderen Fällen verstehen User die komplexen Methoden, die Kriminelle anwenden, um an geschäftskritische Daten zu gelangen. Sie tendieren jedoch dazu, das tatsächliche Risiko von Angriffen herunterzuspielen. Es ist ein ewiger Kreislauf: Der Endanwender fühlt sich durch die IT-Vorrichtungen geschützt und der IT-Verantwortliche schätzt den User als wachsamer und vorsichtiger ein, als er tatsächlich ist.