- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Und dann noch die DSGVO


Ungleiche Voraussetzungen: Datensicherheit größte Herausforderung für den Mittelstand
Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen


- Anzeigen -





Von Manuel Bohé, Geschäftsführer Concepture

Auch wenn es darum geht die im Mai kommenden Jahres in Kraft tretende Datenschutz-Grundverordnung umzusetzen, spielt der kaum abzuschätzende Aufwand gerade für mittelständische Unternehmen eine wichtige Rolle. Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom haben erst 13 Prozent der befragten deutschen Unternehmen damit begonnen erste Maßnahmen umzusetzen. Jedes dritte Unternehmen hat sich noch gar nicht mit der anstehenden DSGVO beschäftigt. Neben der real bestehenden Rechtsunsicherheit ist es vor allem der unwägbare Aufwand bei der Umsetzung, der die befragten Firmen offensichtlich zurückschrecken lässt.

Lesen Sie zum Thema "Datenschutz" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Susanne Dehmel, Geschäftsleiterin Recht & Sicherheit beim Bitkom, warnt: "Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens." Den schwer abzuschätzenden Aufwand bewerten mehr als die Hälfte (52 Prozent) der Befragten als größte Hürde bei der Umsetzung der DSGVO. Ohne Mehraufwand wird es nicht gehen, davon gehen 35 Prozent aus, 20 Prozent sogar von einem erheblichen Mehraufwand. Dazu bemängeln die Teilnehmer an der repräsentativen Umfrage, dass es an praktischen Umsetzungshilfen fehlt bis hin zu Praxisleitfäden oder Handreichungen.

Kritische Töne betreffen noch einen anderen Bereich: Etliche Firmen gehen davon aus, dass die Geschäftsprozesse nun deutlich komplizierter werden, 14 Prozent sehen in der DSGVO sogar eine Gefahr für ihre Geschäftstätigkeit, 23 Prozent fürchten Wettbewerbsnachteile für europäische Firmen und stolze 36 Prozent sehen in ihr sogar eine Innovationsbremse.

Klärungsbedarf auch beim Thema Datenschutzbeauftragter
Im Rahmen der neuen Verordnung gibt es in vielerlei Hinsicht Klärungsbedarf. Dazu gehört auch die Frage wann genau Unternehmen einen Datenschutzbeauftragten benennen müssen.

In Artikel 37 sind prinzipiell drei Szenarien festgeschrieben: wenn die Kerntätigkeit
a) die Verarbeitung personenbezogener Daten durch eine Behörde oder öffentliche Stelle umfasst,
b) sie eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen" beinhaltet oder
c) die umfangreiche Verarbeitung besonderer Kategorien von Daten erforderlich macht, darunter biometrische, genetische und standortbezogene Daten.

Man darf getrost davon ausgehen, dass die meisten Firmen unter die zweite der genannten Kategorien fallen. Insbesondere die beiden Formulierungen "regelmäßige und systematische Überwachung" und "umfangreich" sind schon auf den ersten Blick mehrdeutig. Das sehen auch Juristen und DSGVO-Experten so.

Der Datenschutzbeauftragte in der DSGVO im Unterschied zum BDSG
Aber zunächst einen Schritt zurück. Denn das bestehende Bundesdatenschutzgesetz enthält bereits Vorgaben zur Rolle eines Datenschutzbeauftragten im Unternehmen.

Im BDSG gibt es genau drei Fälle in denen das Gesetz vorschreibt einen Datenschutzbeauftragten zu benennen:

>> Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – ob fest, frei oder nur aushilfsweise beschäftigt, das spielt dabei keine Rolle; sobald die Daten am Computer verarbeitet werden, geht das Gesetz von der automatisierten Verarbeitung aus.

>> Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese – die Zahl der Beschäftigten spielt dann keine Rolle.

>> Das Unternehmen verarbeitet besonders sensible Daten – auch in diesem Fall ist die Zahl der Mitarbeiter unerheblich. Unter diese Klausel fallen zum Beispiel Gesundheitsdaten oder Daten zur Bonität (jüngstes Beispiel, welches Ausmaß und welche Eskalationsstufen ein Datenschutzvorfall in diesem Bereich annehmen kann: der Vorfall beim Credit Bureau Equifax)

>> Nach § 4g I 1 BDSG wirkt der Datenschutzbeauftragte darauf hin, dass das BDSG und andere Datenschutzvereinbarungen eingehalten werden. Die Umsetzung nimmt er aber nicht selbst vor, sondern er ist organisatorisch der Geschäftsleitung unterstellt. Genau das ändert sich mit der DSGVO und nach Art. 39 Abs. 1b). Demnach muss der Datenschutzbeauftragte nicht nur auf die Einhaltung hinwirken, sondern ihm obliegt eine umfassende Überwachungspflicht.

Die Artikel-29-Datenschutzgruppe
Unter der Artikel-29-Datenschutzgruppe versteht man den Zusammenschluss der nationalen Datenschutzbehörden in Europa. Ihnen ist nicht entgangenen, dass die nicht immer eindeutigen DSGVO-Vorgaben konkretisiert werden müssen. Die Gruppe fungiert dabei als eine Art übergeordnete Datenschutzbehörde, die Empfehlungen im Sinne der DSGVO abgeben und ganz nebenbei die nationalen Datenschutzbehörden einheitlich ausrichten soll. Dazu wurden erstmals Ende letzten Jahres Leitfäden veröffentlicht:

>> Guidelines on the right to "data portability", wp242rev.01

>> Guidelines on Data Protection Officers ('DPOs'), wp243rev.01

>>Guidelines on The Lead Supervisory Authority, wp244rev.01

Zuletzt wurden diese Leitlinien im April dieses Jahres überarbeitet. Wer die Entstehungsgeschichte der Datenschutzgrundverordnung mitverfolgt hat, der weiß, dass gerade die Bestimmungen zum Datenschutzbeauftragten zu den nicht unumstrittenen Klauseln gehörten. Fraglich war etwa, ob es für ein Unternehmen obligatorisch oder optional sein sollte, einen Datenschutzbeauftragten zu benennen. Und auch über die Grundvoraussetzungen war man sich uneins. So wurde beispielsweise diskutiert, ob die Mitarbeiterzahl eines Unternehmens ausschlaggebend sein sollte (mindestens 250 MA) oder die Anzahl der von einer Firma verarbeiteten personenbezogenen Datensätze (500). Die Beteiligten einigten sich zwar auf den obligatorischen Datenschutzbeauftragten, einen Schwellenwert wollte man aber nicht festlegen. Die Formulierung blieb mehrdeutig.

Für die Art.-29-Gruppe bedeutet "regelmäßig und systematisch", dass eine vorab geplante Tätigkeit im Laufe der Zeit wiederholt durchgeführt wird. Bleibt noch die zweite wenig eindeutige Formulierung "umfangreich". Laut der Artikel-29-Gruppe in den Leitlinien sind vier verschiedene Faktoren zu berücksichtigen:

>> die Datenmenge

>> und/oder die Bandbreite der verarbeiteten Datenelemente

>> die Dauer oder Konstanz der Datenverarbeitungsvorgänge

>> die räumliche Ausdehnung der Verarbeitungsvorgänge

Man beginnt zu ahnen, wo der Gesetzgeber mit dieser Formulierung hin wollte. Alle diejenigen, die große Mengen personenbezogener Daten verarbeiten, sind in der Pflicht, einen Datenschutzbeauftragten zu benennen. Versicherungen und Banken sowie große Handelsketten beispielsweise.

Wenn man die Perspektive wechselt, ist heutzutage allerdings auch ein kleines Unternehmen mit wenigen Mitarbeitern in der Lage Überwachungsaktivitäten durchzuführen. Und man könnte zu dem Schluss kommen, dass jedes Unternehmen mit einer nur halbwegs gut besuchten Webseite zukünftig einen Datenschutzbeauftragten beschäftigen muss. Das können etwa Nachrichtenseiten und Portale sein, die ihren Nutzern kostenlos Informationen zur Verfügung stellen. Über die Webseite werden keine oder nur wenige personenbezogenen Daten erfasst. Die Browseraktivitäten werden in erster Linie über Cookies und andere Methoden getrackt. Trotzdem ist anhand der eingeblendeten Werbung gut zu erkennen wie "vertraut" die Seite mit den Surf- und Suchgewohnheiten des betreffenden Nutzers ist. Folgt man den in den Leitlinien gegebenen Empfehlungen zur DSGVO, ist eine derartige Online-Überwachung eine, die auch in den Bestimmungen zum Datenschutzbeauftragten vorkommt. Mit dieser und anderen Fragestellungen werden Juristen und Experten vermutlich noch eine Weile tu tun haben.

Trotz der einigermaßen erschreckenden Ergebnisse der Bitkom-Umfrage, bemühen sich Beratungsunternehmen, Juristen und DSGVO-Experten inzwischen gleichermaßen deutlich konkretere Hilfen zur praktischen Umsetzung der DSGVO-Anforderungen zur Verfügung zu stellen. Das gilt auch für das Anforderungsprofil eines Datenschutzbeauftragten. (Concepture: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 02.11.17


Concepture: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wenn Kryptojacking auf die Cloud trifft

    Mit prominenten Opfern wie Tesla, Avira und Gemalto tauchte Kryptojacking in der ersten Jahreshälfte 2018 mehrmals in den Schlagzeilen auf. Bei dieser Angriffstechnik kapern Hacker fremde Geräte um Kryptowährungen zu schürfen. Kryptowährungen werden durch das Lösen komplexer mathematischer Probleme generiert. An sich ein legitimer Vorgang, allerdings erfordert dieser eine hohe Rechenleistung und ist damit überaus ressourcenintensiv. Für Kriminelle ist es daher lukrativer, das Schürfen widerrechtlich auf fremde Infrastrukturen auszulagern. Das Kapern von Geräten und Netzwerken und die Bündelung zu einem Botnetz maximiert ihre Schürfkapazitäten und beschert einen höheren Gewinn, da sie diese Ressourcen nicht selbst kostenpflichtig unterhalten müssen. Ebenfalls attraktiv sind die damit verbundenen geringeren Konsequenzen: Fälle von Kryptojacking, insbesondere in den USA, werden von den Behörden weniger aggressiv verfolgt als Angriffe mit Malware oder Ransomware, wo das Schadensausmaß deutlich höher ist.

  • Cyber-Sicherheit braucht permanentes Training

    Auf eine Billion Dollar summieren sich die weltweiten Aufwände im Kampf gegen Cyber-Kriminalität bis 2021 laut einer Studie des Marktbeobachters Cybersecurity Ventures. Damit sich diese Investitionen auszahlen, ist eine umfassende Strategie erforderlich. Denn Cyber-Sicherheit ist wie ein Muskel: Je häufiger er trainiert wird, desto stärker wird er. Trotz umfassender Sicherheitsvorkehrungen bleibt der Mitarbeiter der entscheidende Faktor. Denn Sicherheitssysteme schützen gegen bekannte Gefahren - Mitarbeiter werden mit dem Unbekannten konfrontiert. Die Unternehmens-IT und Mitarbeiter stehen in wechselseitiger Abhängigkeit: "Obwohl Mechanismen der Cyber-Sicherheit das ganze Jahr über einzuhalten sind, sollte man sich jetzt daran erinnern, dass wir alle gemeinsam eine Rolle bei der IT-Sicherheit und Minderung von Risiken spielen", sagt Chris Goettl, Director of Product Management, Security, Ivanti. "Um IT-Abteilungen bei der Schulung von Nutzern zu helfen, haben wir diese Liste der wichtigsten Tipps zusammengestellt. Damit soll die Gefährdung durch Schwachstellen und Bedrohungen verringert werden."

  • Mit einem Hacker auf Business-Trip

    Tom Van de Wiele, Principal Cyber Security Consultant bei F-Secure, ist seit über 15 Jahren als ethischer Hacker unterwegs ist. Der Sicherheitsberater erläutert, auf welche Sicherheitsmaßnahmen es bei Geschäftsreisen ankommt. Um diversen Unternehmen vorzuführen, wie bedroht sie sind, hat der Cybersecurity-Spezialist F-Secure für einen Red Teaming Test seine besten ethischen Hacker bei ihnen versuchsweise einbrechen lassen. Tom Van de Wiele hat zuletzt im Cyber Security Sauna Podcast von F-Secure verraten, was beim Thema IT-Sicherheit auf Reisen zu beachten ist.

  • Unerwünschtes Crypto-Mining nimmt zu

    Das BSI stellt im aktuell vorgestellten Lagebericht 2018 fest: Die Bedrohung durch Ransomware verlagert sich Richtung Crypto-Mining. Immer häufiger lagern Webseitenbetreiber das sogenannte Schürfen von Cryptowährungen unbemerkt an Surfer im Internet aus. Alles was es dazu bedarf, ist das Platzieren entsprechender Scripte auf einem Webserver. Daraus sind inzwischen erste Geschäftsmodelle entstanden. "Für Cyberkriminelle ist es ein lohnendes Geschäft, hoch frequentierte Webseiten mit einem Crypto-Miner zu infizieren", sagt Markus Schaffrin, Security-Experte und Geschäftsbereichsleiter Mitgliederservices im eco - Verband der Internetwirtschaft e. V.

  • Florierendes Geschäft mit BEC-as-a-Service

    Cyber-Kriminelle entwickeln ihre Angriffe immer raffinierter. Hat man früher nach dem Gießkannen-Prinzip einfach mal breit zugeschlagen, trifft es heute ausgewählte Ziele. Dabei gibt es typische Vorgehensweisen - Sophos zeigt auf, wie diese aussehen, woran man sie typischerweise erkennt und was sinnvolle Maßnahmen zum Schutz sein können. Im Jahr nach WannaCry und NotPetya - seinerzeit hielten weltweite Ausbrüche innerhalb von nur Stunden Unternehmen und Medien in Atem - hat Ransomware sich leise weiter entwickelt und kommt heute als zunehmend raffiniertes Angriffszenario auf Unternehmen zu. Die "herangewachsenen" Ransomware-Attacken zeichnen sich dadurch aus, dass sie individuell, lukrativer und diffiziler zu stoppen sind. Zudem zeigen sie verheerendere Wirkung auf ihre Opfer, als jene Attacken, die auf Email oder Exploits zur Verbreitung setzen. Und die Angriffe sind derart gestaltet, dass sie leicht zu reproduzieren sind.