- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Und dann noch die DSGVO


Ungleiche Voraussetzungen: Datensicherheit größte Herausforderung für den Mittelstand
Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen


- Anzeigen -





Von Manuel Bohé, Geschäftsführer Concepture

Auch wenn es darum geht die im Mai kommenden Jahres in Kraft tretende Datenschutz-Grundverordnung umzusetzen, spielt der kaum abzuschätzende Aufwand gerade für mittelständische Unternehmen eine wichtige Rolle. Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom haben erst 13 Prozent der befragten deutschen Unternehmen damit begonnen erste Maßnahmen umzusetzen. Jedes dritte Unternehmen hat sich noch gar nicht mit der anstehenden DSGVO beschäftigt. Neben der real bestehenden Rechtsunsicherheit ist es vor allem der unwägbare Aufwand bei der Umsetzung, der die befragten Firmen offensichtlich zurückschrecken lässt.

Lesen Sie zum Thema "Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom, warnt: "Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens." Den schwer abzuschätzenden Aufwand bewerten mehr als die Hälfte (52 Prozent) der Befragten als größte Hürde bei der Umsetzung der DSGVO. Ohne Mehraufwand wird es nicht gehen, davon gehen 35 Prozent aus, 20 Prozent sogar von einem erheblichen Mehraufwand. Dazu bemängeln die Teilnehmer an der repräsentativen Umfrage, dass es an praktischen Umsetzungshilfen fehlt bis hin zu Praxisleitfäden oder Handreichungen.

Kritische Töne betreffen noch einen anderen Bereich: Etliche Firmen gehen davon aus, dass die Geschäftsprozesse nun deutlich komplizierter werden, 14 Prozent sehen in der DSGVO sogar eine Gefahr für ihre Geschäftstätigkeit, 23 Prozent fürchten Wettbewerbsnachteile für europäische Firmen und stolze 36 Prozent sehen in ihr sogar eine Innovationsbremse.

Klärungsbedarf auch beim Thema Datenschutzbeauftragter
Im Rahmen der neuen Verordnung gibt es in vielerlei Hinsicht Klärungsbedarf. Dazu gehört auch die Frage wann genau Unternehmen einen Datenschutzbeauftragten benennen müssen.

In Artikel 37 sind prinzipiell drei Szenarien festgeschrieben: wenn die Kerntätigkeit
a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst,
b) sie eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen" beinhaltet oder
c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten.

Man darf getrost davon ausgehen, dass die meisten Firmen unter die zweite der genannten Kategorien fallen. Insbesondere die beiden Formulierungen "regelmäßige und systematische Überwachung" und "umfangreich" sind schon auf den ersten Blick mehrdeutig. Das sehen auch Juristen und DSGVO-Experten so.

Der Datenschutzbeauftragte in der DSGVO im Unterschied zum BDSG
Aber zunächst einen Schritt zurück. Denn das bestehende Bundesdatenschutzgesetz enthält bereits Vorgaben zur Rolle eines Datenschutzbeauftragten im Unternehmen.

Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen:

>> Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – ob fest, frei oder nur aushilfsweise beschäftigt, das spielt dabei keine Rolle; sobald die Daten am Computer verarbeitet werden, geht das Gesetz von der automatisierten Verarbeitung aus.

>> Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese – die Zahl der Beschäftigten spielt dann keine Rolle.

>> Das Unternehmen verarbeitet besonders sensible Daten – auch in diesem Fall ist die Zahl der Mitarbeiter unerheblich. Unter diese Klausel fallen zum Beispiel Gesundheitsdaten oder Daten zur Bonität (jüngstes Beispiel, welches Ausmaß und welche Eskalationsstufen ein Datenschutzvorfall in diesem Bereich annehmen kann: der Vorfall beim Credit Bureau Equifax)

>> Nach § 4g I 1 BDSG wirkt der Datenschutzbeauftragte darauf hin, dass das BDSG und andere Datenschutzvereinbarungen eingehalten werden. Die Umsetzung nimmt er aber nicht selbst vor, sondern er ist organisatorisch der Geschäftsleitung unterstellt. Genau das ändert sich mit der DSGVO und nach Art. 39 Abs. 1b). Demnach muss der Datenschutzbeauftragte nicht nur auf die Einhaltung hinwirken, sondern ihm obliegt eine umfassende Überwachungspflicht.

Die Artikel-29-Datenschutzgruppe
Unter der Artikel-29-Datenschutzgruppe versteht man den Zusammenschluss der nationalen Datenschutzbehörden in Europa. Ihnen ist nicht entgangenen, dass die nicht immer eindeutigen DSGVO-Vorgaben konkretisiert werden müssen. Die Gruppe fungiert dabei als eine Art übergeordnete Datenschutzbehörde, die Empfehlungen im Sinne der DSGVO abgeben und ganz nebenbei die nationalen Datenschutzbehörden einheitlich ausrichten soll. Dazu wurden erstmals Ende letzten Jahres Leitfäden veröffentlicht:

>> Guidelines on the right to "data portability", wp242rev.01

>> Guidelines on Data Protection Officers ('DPOs'), wp243rev.01

>>Guidelines on The Lead Supervisory Authority, wp244rev.01

Zuletzt wurden diese Leitlinien im April dieses Jahres überarbeitet. Wer die Entstehungsgeschichte der Datenschutzgrundverordnung mitverfolgt hat, der weiß, dass gerade die Bestimmungen zum Datenschutzbeauftragten zu den nicht unumstrittenen Klauseln gehörten. Fraglich war etwa, ob es für ein Unternehmen obligatorisch oder optional sein sollte, einen Datenschutzbeauftragten zu benennen. Und auch über die Grundvoraussetzungen war man sich uneins. So wurde beispielsweise diskutiert, ob die Mitarbeiterzahl eines Unternehmens ausschlaggebend sein sollte (mindestens 250 MA) oder die Anzahl der von einer Firma verarbeiteten personenbezogenen Datensätze (500). Die Beteiligten einigten sich zwar auf den obligatorischen Datenschutzbeauftragten, einen Schwellenwert wollte man aber nicht festlegen. Die Formulierung blieb mehrdeutig.

Für die Art.-29-Gruppe bedeutet "regelmäßig und systematisch", dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird. Bleibt noch die zweite wenig eindeutige Formulierung "umfangreich". Laut der Artikel-29-Gruppe in den Leitlinien sind vier verschiedene Faktoren zu berücksichtigen:

>> die Datenmenge

>> und/oder die Bandbreite der verarbeiteten Datenelemente

>> die Dauer oder Konstanz der Datenverarbeitungsvorgänge

>> die räumliche Ausdehnung der Verarbeitungsvorgänge

Man beginnt zu ahnen, wo der Gesetzgeber mit dieser Formulierung hin wollte. Alle diejenigen, die große Mengen personenbezogener Daten verarbeiten, sind in der Pflicht, einen Datenschutzbeauftragten zu benennen. Versicherungen und Banken sowie große Handelsketten beispielsweise.

Wenn man die Perspektive wechselt, ist heutzutage allerdings auch ein kleines Unternehmen mit wenigen Mitarbeitern in der Lage Überwachungsaktivitäten durchzuführen. Und man könnte zu dem Schluss kommen, dass jedes Unternehmen mit einer nur halbwegs gut besuchten Webseite zukünftig einen Datenschutzbeauftragten beschäftigen muss. Das können etwa Nachrichtenseiten und Portale sein, die ihren Nutzern kostenlos Informationen zur Verfügung stellen. Über die Webseite werden keine oder nur wenige personenbezogenen Daten erfasst. Die Browseraktivitäten werden in erster Linie über Cookies und andere Methoden getrackt. Trotzdem ist anhand der eingeblendeten Werbung gut zu erkennen wie "vertraut" die Seite mit den Surf- und Suchgewohnheiten des betreffenden Nutzers ist. Folgt man den in den Leitlinien gegebenen Empfehlungen zur DSGVO, ist eine derartige Online-Überwachung eine, die auch in den Bestimmungen zum Datenschutzbeauftragten vorkommt. Mit dieser und anderen Fragestellungen werden Juristen und Experten vermutlich noch eine Weile tu tun haben.

Trotz der einigermaßen erschreckenden Ergebnisse der Bitkom-Umfrage, bemühen sich Beratungsunternehmen, Juristen und DSGVO-Experten inzwischen gleichermaßen deutlich konkretere Hilfen zur praktischen Umsetzung der DSGVO-Anforderungen zur Verfügung zu stellen. Das gilt auch für das Anforderungsprofil eines Datenschutzbeauftragten. (Concepture: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 02.11.17


Concepture: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Verräterische Anzeichen von Cyberkriminalität

    Die Verbindung zu öffentlichen WLAN-Netzen an überfüllten Orten birgt ein ziemlich hohes Risiko, deshalb sollten Urlauber in diesem Jahr sowohl den Sonnen- als auch den Cyberschutz dabei haben. Die kostenlosen WLAN-Hotspots an Orten wie Flughäfen, Cafés, öffentlichen Verkehrsmitteln oder Hotelzimmern sind ein bequemer Weg, um mit dem Büro oder der Familie in Kontakt zu bleiben. Die offenen Netzwerke sind jedoch nicht ohne Risiko. Der sicherste Weg seine wertvollen Daten zu schützen, würde natürlich darin besteht, keine Verbindung mit öffentlichen Netzwerken herzustellen. Es gibt jedoch verschiedene Technologien, die es möglich machen, sich auch über solche Wi-Fi-Hotspots sicher und ohne Sorge zu verbinden.

  • Tipps zum sicheren Umgang mit Zugriffsrechten

    Zugriffskontrolle und Whitelisting gehören zu den ersten und stärksten Maßnahmen zur Absicherung der Firmen-IT. Viele Unternehmen geben sich dabei allerdings mit der Erstellung von Listen vertrauenswürdiger Webseiten, Anwendungen oder Benutzer zufrieden. Selten werden diese Listen an einem Ort zusammengeführt. Dafür kommen umso häufiger selbst entwickelte Provisioning-Skripte zum Einsatz, um Benutzerrechte zu verwalten - nicht gerade der Königsweg der IT-Sicherheit. Whitelisting kann heute jedoch durchaus moderner arbeiten: Als dynamische Methode hilft es, Zugriffskontrollen auf der Grundlage individueller Identitäten und kontextbezogener Attribute durchzusetzen.

  • Forschungsobjekt Phishing

    Ein Drittel der im Umlauf schwirrenden Phishing-E-Mails wird auch tatsächlich geöffnet. Wie kommt das? Sind die Angriffe zu geschickt, die Nutzer zu lax? Wie kann man die Quote senken und Mitarbeiter und Unternehmen schützen? Sophos hat sich intensiv mit Phishing auseinandergesetzt und die Ergebnisse in einem White Paper zusammengefasst. Phishing ist eine der häufigsten und aggressivsten Angriffsmethoden von Hackern. Phishing-Attacken nutzen das Verhalten des Endanwenders als schwächstes Glied in der Cyber-Abwehr eines Unternehmens aus.

  • Nutzung von Passwörtern und PINs

    Die Nutzung von Passwörtern und PINs auf einem mobilen Gerät kann zu einer Herausforderung werden, insbesondere wenn man diese möglichst sicher mit Sonderzeichen und Zahlen-Buchstaben-Kombinationen anlegt. Semantische Symbole könnten Abhilfe schaffen, kommen jedoch nicht verbreitet zum Einsatz. John E Dunn, Security Spezialist bei Sophos, beschreibt dieses Thema in einem Artikel auf Naked Security. In einer Welt mobiler Geräte erscheint es seltsam, dass ihre Nutzer an ein Passwortmodell gekettet sind, das für Computer mit voll ausgestatteter Tastatur und Monitor entwickelt wurde. Dunn hat sich die neuesten Authentifizierungsideen aus den Entwicklerlaboren angesehen. Ist das gute alte Passwort also bald Geschichte? Es ist keine Überraschung, dass die Passworteingabe auf einem mobilen Gerät knifflig sein kann, völlig unabhängig von dem generellen Problem, unzählige Passwörter und PINs zu kreieren, geschweige denn, sie sich zu merken.

  • Malware als kostenlose VPN-Software

    Die Sonne scheint, die Ferienzeit ist in vollem Gange und es zieht uns an die Seen, Flüsse, Meere oder in die Berge. Doch leider ist uns die Büroarbeit häufig auf den Fersen. Von den Flughafen-Lounges bis hin zu Strandbars sind immer mehr Menschen auch im Urlaub per Smartphone und Laptop erreichbar und halten sich über Projekte oder dringende Deadlines auf dem Laufenden. Aber die Verbindung zu öffentlichen WLAN-Netzen an überfüllten Orten birgt ein ziemlich hohes Risiko, deshalb sollten Urlauber in diesem Jahr sowohl den Sonnen- als auch den Cyberschutz dabei haben. Die kostenlosen WLAN-Hotspots an Orten wie Flughäfen, Cafés, öffentlichen Verkehrsmitteln oder Hotelzimmern sind ein bequemer Weg, um mit dem Büro oder der Familie in Kontakt zu bleiben. Die offenen Netzwerke sind jedoch nicht ohne Risiko. Der sicherste Weg seine wertvollen Daten zu schützen, würde natürlich darin besteht, keine Verbindung mit öffentlichen Netzwerken herzustellen. Es gibt jedoch verschiedene Technologien, die es möglich machen, sich auch über solche Wi-Fi-Hotspots sicher und ohne Sorge zu verbinden.