Datenschutz - Aufgaben und Verantwortung - PDF

Datenschutz 5 Aufgaben und Verantwortung 5.1 Technische und organisatorische Maßnahmen Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern geeig- nete technische und organisatorische Maßnahmen (TOMs), um ein dem Ri- siko entsprechendes Schutzniveau bei der Verarbeitung von personenbezo- genen Daten zu gewährleisten. Dies soll unter Berücksichtigung des jeweili- gen Stands der Technik, der Implementierungskosten und der Art, des Um- fangs, der Umstände und der Zwecke der Verarbeitung sowie der unter- schiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen etabliert werden.53 Außerdem wird die Fähigkeit gefordert, die Vertraulichkeit, Integrität, Ver- fügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung von personenbezogenen Daten sicherzustellen. Diese Anforderungen beinhalten insgesamt eine umfangreiche Umsetzung von Datensicherheitsmaßnahmen. Unternehmen und Behörden müssen zur Erfüllung dieser Vorgabe ein Risi- komanagement etablieren, anhand dessen Schwachstellen und Gefährdun- gen identifiziert werden können. Entsprechende Maßnahmen zur Risikore- duktion sollten nachweislich und dokumentiert durchgeführt werden. Die Maßnahmen müssen in weiterer Folge unter Berücksichtigung der Eintritts- wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen etabliert werden. Als essenzielle Schutzziele der Informationssicherheit können Vertraulich- keit, Verfügbarkeit und die Integrität der Daten definiert werden. Als viertes Schutzziel kann als Konkretisierung der Verfügbarkeit die Belastbarkeit der Systeme angeführt werden, die dabei auf die Angreifbarkeit von System, wie beispielsweise durch DDOS-Attacken abzielt.54 Damit die Vorgaben der DSGVO im Sicherheitsmanagement von Unterneh- men und Behörden auch von der Belegschaft eingehalten werden, bedarf es der schriftlichen Festlegung von klaren Regeln im Umgang mit personenbe- zogenen Daten. In kleineren Unternehmen können die entsprechenden Vor- gaben dabei in einem zentralen Dokument zusammengefasst werden. In größeren Unternehmen macht es Sinn, die Richtlinien nach dem „Need-to- know“-Prinzip zielgruppenspezifisch zu gestalten. Damit wird sichergestellt, 53 Vgl. Art. 32, Abs. 1 DSGVO. 54 Vgl. Pachinger, Michael (2019), S. 442. 61 Datenschutz dass nur Mitarbeiterinnen auf die Informationen zugreifen dürfen, die sie für die Ausübung ihrer Tätigkeit benötigen. Die Regelungen über technische und organisatorische Maßnahmen haben den Zweck, dass Verantwortliche zur Eigenverantwortlichkeit erzogen wer- den. Damit bilden technische und organisatorische Maßnahmen ein zentra- les Element für den Verantwortlichen bei der Einhaltung der geltenden da- tenschutzrechtlichen Bestimmungen. Bei der konkreten Umsetzung sollen sowohl die Implementierungskosten im Sinne einer Verhältnismäßigkeit zwischen wirtschaftlichem Aufwand und praktischem Mehrwert als auch der jeweilige Stand der Technik berücksich- tigt werden. Eine genaue Ausgestaltung der jeweiligen Vorgaben in der Pra- xis sieht die DSGVO nicht vor. Umso mehr sind die Verantwortlichen gefor- dert, einerseits die jeweiligen technischen Herausforderungen möglichst sorgfältig umzusetzen und andererseits klare Vorgaben für die Mitarbeite- rinnen zu erstellen. Abbildung 7: Beispiele für technische und organisatorische Maßnahmen55 Zu den technischen und organisatorischen Maßnahmen gehört nicht zuletzt auch die Sensibilisierung und Schulung von Mitarbeitern in Hinblick auf eine sichere IT-Nutzung. Auch hier gibt es Mindeststandards für die Umsetzung, die im Folgenden aufgelistet werden. 55 Abbildung entnommen aus: https://www.ifb.de/wissen/digitaler-wandel-und-daten- schutz/dsgvo-bdsg 62 Datenschutz Im Rahmen einer Schulung sollen unter anderem die sichere Nutzung von Browsern, die sichere Nutzung von sozialen Netzwerken sowie die sichere Nutzung von Kommunikationsmedien zur Sprache kommen. Weitere Inhalte können beispielsweise die Klassifizierung von Dokumenten mit personenbe- zogenen Daten nach der jeweiligen Vertraulichkeitsstufe (zum Beispiel „ver- traulich“, „nicht vertraulich“, „öffentlich bekannt“) sein. Die Mitarbeiter sollen unter anderem auch über den geeigneten Umgang mit externen Datenträgern vertraut gemacht werden sowie über die Ver- pflichtung, Dokumente und Unterlagen vor Verlassen des Arbeitsplatzes ent- sprechend zu verstauen und einzuschließen, damit unbefugte Dritte keiner- lei Kenntnis über deren Inhalte erhalten können („clean desk policy“). Bei einer aktiven Homeoffice-Vereinbarung muss der Verantwortliche si- cherstellen, dass sich die Mitarbeiter dazu verpflichten, ausschließlich die vom Verantwortlichen bereitgestellten Systeme zu nutzen und sämtliche Zu- gangsdaten geheim zu halten. Idealerweise wird vom Arbeitgeber auch eine sichere Datenverbindung (zum Beispiel ein „virtual private network“) ge- währleistet. Wenn die Nutzung von eigenen Endgeräten („bring your own device“) ge- stattet ist, sollte deren Nutzung über eine entsprechende Richtlinie geregelt werden. Die Mitarbeiter sollten außerdem dahingehend geschult werden, dass sie si- chere Passwörter möglichst inklusive Groß- und Kleinbuchstaben, Sonder- zeichen und Zahlen mit einer festgelegten Mindestzeichenzahl verwenden. Für jede Anwendung sollte dabei ein eigenes Passwort zur Anwendung kom- men. Passwörter dürfen auch nicht weitergegeben werden oder offen her- umliegen. Der Verantwortliche stellt sicher, dass sämtliche Mitarbeiter dahingehend geschult werden, dass physische Dokumente der Kategorie „vertraulich“ in einem verschlossenen Aktenordner oder Aktenschrank verwahrt und unmit- telbar nach dem Gebrauch wieder eingeschlossen werden müssen. Der Ver- antwortliche muss zusätzlich mit den Mitarbeitern geeignete Maßnahmen zur Sicherung des Schlüssels treffen. Nicht mehr benötigte physische Doku- mente müssen vor der Entsorgung geschreddert werden. Im Rahmen der Schulung sollten die Mitarbeiter auch über die Kernaspekte der DSGVO informiert werden. Darunter fallen etwa die Definition von per- sonenbezogenen Daten, die Definition von sensiblen Daten, eine grundsätz- liche Awareness im Arbeitsalltag, das Verhalten bei einem Auskunftsbegeh- ren durch einen Kunden oder die internen Prozesse im Falle eines Data- Breaches. 63 Datenschutz Es empfiehlt sich außerdem, mit sämtlichen Mitarbeitern eine Geheimhal- tungsvereinbarung abzuschließen. Hinsichtlich der IT-Infrastruktur ist sicherzustellen, dass Computer vor einem unbefugten Zugriff und unbefugter Nutzung geschützt sind. Darüber hinaus sollten alle Arbeitsplatzrechner so konfiguriert sein, dass aktuelle Updates automatisch installiert werden. Die Speicher von Mobile Devices wie Smartphones und Laptops sollten ide- alerweise defaultmäßig verschlüsselt werden. Die Daten auf Smartphones sollten darüber hinaus aus der Ferne („remote“) gelöscht werden können, wenn diese verloren gegangen sind. Es empfiehlt sich auch der Einsatz einer Device Management-Software, über die zum Beispiel die Zugänge zu Apps auf Smartphones zentral gesteuert werden können. Der Verlust oder Diebstahl eines mobilen IT-Gerätes muss dem zuständigen Verantwortlichen zeitnah gemeldet werden, damit recht- zeitig eine Fernlöschung oder eine andere Sicherheitsmaßnahme durchge- führt werden kann. Die Mitarbeiter dürfen die Zugangsdaten des lokalen Internetnetzwerkes („WLAN“) nicht an Dritte weitergeben. Es sollte auch sichergestellt werden, dass ein eigenes WLAN für Besucher eingerichtet wird. Für besonders sensible oder gefährdete Einsatzzwecke, wie beispielsweise Fernzugriffe auf Unternehmensdaten, kann eine Zwei-Faktor-Authentifizie- rung den Schutz vor unbefugten Zugriffen deutlich erhöhen. Bauseitig muss sichergestellt werden, dass der Zutritt zu den Räumlichkeiten nur für berechtigte Personen möglich ist. Der Verantwortliche muss außer- dem sicherstellen, dass auch die IT-Infrastruktur vor unberechtigtem Zutritt geschützt ist. Ferner müssen auch entsprechende Maßnahmen getroffen werden, um die Infrastruktur vor Feuer oder Wasser zu bewahren. Aus technischer Sicht sind auch Backup- und Restore-Maßnahmen bis hin zur Wiederherstellung des Betriebes im Notfall zu empfehlen. Firewalls müs- sen richtig installiert und konfiguriert werden, um einen entsprechenden Schutz zu bieten. Die Umsetzung von technischen Maßnahmen müssen laut der DSGVO jeweils nach dem aktuellen Stand der Technik erfolgen. Auf administrativer Ebene sollte der Verantwortliche Prozesse zur Auskunft, Löschung und Richtigstellung von Daten definieren. Im Falle eines Sicher- heitsvorfalles kann dann auf vorab definierte Prozesse zurückgegriffen wer- den, die vorgeben, welche Maßnahmen zu treffen sind. Nicht zuletzt muss die Wirksamkeit der technischen und organisatorischen Maßnahmen in Hinblick auf eine Gewährleistung der Sicherheit der 64 Datenschutz Verarbeitung von personenbezogenen Daten regelmäßig überprüft, bewer- tet und evaluiert werden. Unter technischen und organisatorischen Maßnahmen ist ein Bündel an Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität und Verfüg- barkeit von personenbezogenen Daten zu verstehen. Weiters umfassen sie Merksatz auch Maßnahmen zur Gewährleistung der Rechtmäßigkeit der Datenverar- beitung, beispielsweise durch eine entsprechende Zweckbindung. 5.2 Benennung eines Datenschutzbeauftragten Laut der DSGVO besteht keine allgemeine Pflicht zur Bestellung eines Daten- schutzbeauftragten. Nur in folgenden Fällen ist ein Datenschutzbeauftragter verpflichtend zu benennen: die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, die im Rahmen ihrer jus- tiziellen Tätigkeit handeln die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbei- ters besteht in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbei- ters besteht in der umfangreichen Verarbeitung besonders schüt- zenswerter Daten Damit ist die Frage, was als Kerntätigkeit eines Unternehmens anzusehen ist, von einer entscheidenden Bedeutung für die Pflicht zur Bestellung eines Da- tenschutzbeauftragten. Die Kerntätigkeit eines Unternehmens bezieht sich dabei auf die Haupttätigkeiten und nicht auf die Verarbeitung personenbe- zogener Daten als Nebentätigkeit. Sind Datenverarbeitungsvorgänge jedoch untrennbar mit einer Schlüsseltätigkeit verbunden, können diese ebenfalls zur Kerntätigkeit gezählt werden. Was als umfangreich zu verstehen ist, wird in der DSGVO nicht näher erläu- tert. Beispielsweise ist aber darunter ein Krankenhaus zu verstehen oder ein IT-Dienstleister, der Kundinnen im Gesundheitssektor hat. Diese Voraussetzungen gelten für Verantwortliche und Auftragsverarbeiter gleichermaßen. Sowohl Verantwortliche als auch Auftragsverarbeiter kön- nen daher verpflichtet sein, jeweils einen Datenschutzbeauftragten zu be- stellen. 65 Datenschutz Im Falle der Benennung eines Datenschutzbeauftragten besteht die Ver- pflichtung, die Kontaktdaten des Datenschutzbeauftragten zu veröffentli- chen und der Datenschutzbehörde mitzuteilen. Es ist auch jederzeit möglich, einen Datenschutzbeauftragten freiwillig zu bestellen. Dabei ist zu beachten, dass er dieselbe Stellung und dieselben Auf- gaben wie ein verpflichtend zu bestellender Datenschutzbeauftragter hat. 5.3 Aufgaben und Stellung des Datenschutzbeauf- tragten Ein Datenschutzbeauftragter unterrichtet und berät ein Unternehmen und dessen Mitarbeiter hinsichtlich ihrer Pflichten laut dem Datenschutzrecht. Er überwacht und überprüft die Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten. Das betrifft auch die Zuweisung von Zuständigkeiten sowie die Sensibilisierung und Schulung von Mitarbeitern. Abbildung 8: Aufgaben des Datenschutzbeauftragten56 Auf Anfrage führt der Datenschutzbeauftragte Beratungen im Zusammen- hang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung durch. Der Datenschutzbeauftragte arbeitet direkt mit der Aufsichtsbehörde zusammen und ist auch die Anlaufstelle für diese. Als Voraussetzung für seine Arbeit muss ein Datenschutzbeauftragter Fach- wissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen sowie die Fähigkeit, die angeführten Aufgaben zu erfüllen. Der Datenschutzbeauftragte ist ordnungsgemäß und frühzeitig in sämtliche mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Jeder Unternehmer muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm die erforderlichen Res- sourcen und den Zugang zu den personenbezogenen Daten und 56 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 4. 66 Datenschutz Verarbeitungsvorgängen zur Verfügung stellen. Außerdem müssen ihm die entsprechenden Ressourcen zur Verfügung gestellt werden, um sein Fach- wissen zu erhalten. Im Rahmen der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Au- ßerdem darf er vom Unternehmen wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Diese Sonderstellung kommt aber keinem generellen Kündigungsschutz gleich. Er kann jedenfalls dann abberufen werden, wenn er seine Aufgaben nach der DSGVO nicht ord- nungsgemäß erfüllt. Der Datenschutzbeauftragte berichtet immer unmittelbar an die höchste Managementebene. Er kann auch andere Aufgaben und Pflichten überneh- men, wenn sich daraus kein Interessenskonflikt ergibt. Betroffene Personen können mit dem Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrneh- mung ihrer Rechte im Bereich der Datenschutz-Grundverordnung im Zusam- menhang stehenden Fragen direkt Kontakt aufnehmen. Somit ist der Daten- schutzbeauftragte der primäre Ansprechpartner für betroffene Personen. Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zur Ge- heimhaltung und Vertraulichkeit verpflichtet. Das gilt besonders in Bezug auf die Identität der betroffenen Personen, die sich an ihn gewandt haben. Der Datenschutzbeauftragte kann sowohl ein Dienstnehmer als auch ein Selbstständiger sein. Für externe Datenschutzbeauftragte gelten in daten- schutzrechtlicher Hinsicht dieselben Anforderungen und Regelungen wie für interne Datenschutzbeauftragte. Im Falle der Bestellung eines Datenschutzbeauftragten stellt sich die Frage, ob eine interne Besetzung dieser Position sinnvoll ist oder ob ein externer Datenschutzbeauftragter vielleicht besser passt. Ein externer Datenschutz- beauftragter ist zu Beginn seiner Tätigkeit mit dem beauftragenden Unter- nehmen zwar nicht sehr vertraut, er ist aber in der Lage einen objektiven Blick auf die vorhandenen Strukturen und Arbeitsabläufe zu werfen. Außer- dem benötigt er durch sein zertifiziertes Fachwissen keine fachliche Einar- beitung, womit die entsprechende Vorlaufzeit bei einer internen Bestellung entfällt. Für die Bestellung eines externen Datenschutzbeauftragten spricht auch der Blick über den Tellerrand hinaus, da er über einschlägige Erfahrungen in an- deren Unternehmen verfügt und über die gängigen Auslegungen der gelten- den Verordnungen auf dem Laufenden ist. Außerdem entfällt ein potenziel- ler Interessenskonflikt mit einer aktiven Tätigkeit im Unternehmen. Auch die 67 Datenschutz Haftungsübernahme des externen Datenschutzbeauftragten bei fahrlässi- gem Verhalten bietet aus Unternehmenssicht einen gewissen Vorteil. Andererseits sind externe Datenschutzbeauftragte nur lose in die Organisa- tion integriert und werden bei wichtigen Fragestellen unter Umständen sel- tener eingebunden. Außerdem verfügen sie in der Regel nur über wenig Wis- sen bei organisationspolitischen Fragen oder bei organisationsinternen Ent- scheidungsprozessen. Ein interner Datenschutzbeauftragter haftet immer nur eingeschränkt, wäh- rend für einen externen Datenschutzbeauftragten gegenüber der Organisa- tion keine gesetzliche Haftungsbeschränkung vorgesehen ist. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftrag- ten ernennen, wenn er von jeder Niederlassung aus leicht erreicht werden kann. Behörden und öffentliche Stellen sind immer dazu verpflichtet, einen Daten- schutzbeauftragten zu stellen. Darunter fallen beispielsweise Gebietskör- perschaften, gesetzliche Selbstverwaltungskörperschaften, Anstalten öf- fentlichen Rechts, sonstige juristische Personen öffentlichen Rechts, wie zum Beispiel öffentliche Universitäten oder Institutionen, die mit der Voll- ziehung von Gesetzen vertraut sind. Da der Datenschutzbeauftragte ausschließlich ein Beratungs- und Kontroll- organ ist, liegt die Verantwortung für die Einhaltung aller datenschutzrecht- lichen Vorgaben stets beim Verantwortlichen. Es ist nicht zulässig, dass der Verantwortliche und der Datenschutzbeauftragte ein und dieselbe Person sind. Datenschutzbeauftragte werden von Verantwortlichen und Auftragsverar- beitern bestellt, um sie bei der Einhaltung der DSGVO zu unterstützen. Dem Unternehmen steht es dabei frei, entweder einen internen oder einen ex- Merksatz ternen Datenschutzbeauftragten zu nominieren. 5.4 Zusammenarbeit mit der Aufsichtsbehörde in Deutschland In jedem EU-Mitgliedstaat ist mindestens eine Aufsichtsbehörde eingerich- tet, die die DSGVO im jeweiligen Mitgliedstaat vollzieht. In Deutschland ist dies die Bundesbeauftragte für den Datenschutz und die Informationsfrei- heit (BfDI), wobei zusätzlich in jedem Bundesland eine eigene Landesdaten- schutzbehörde existiert. Diese Behörden sind zuständig für die Kontrolle der Einhaltung der Datenschutzvorschriften und können in bestimmten Fällen auch zusammenarbeiten. 68 Datenschutz Für Verantwortliche mit einer europäischen Niederlassung ist bei grenz- überschreitenden Datenverarbeitungen die federführende Aufsichtsbe- hörde im Mitgliedstaat der europäischen Hauptniederlassung der alleinige Ansprechpartner im Sinne eines One-Stop-Shop-Prinzips.57 Die betroffenen europäischen Aufsichtsbehörden arbeiten miteinander zusammen, aber ge- genüber dem Verantwortlichen tritt ausschließlich die federführende Auf- sichtsbehörde in Erscheinung. Die Zusammenarbeit mit der Aufsichtsbehörde bzw. die sich daraus erge- benden Pflichten umfassen mehrere Aspekte. Grundsätzlich ist auf Verlan- gen der Aufsichtsbehörde eine Pflicht zur Zusammenarbeit vorgesehen und sie ist bei der Erfüllung ihrer Aufgaben zu unterstützen. Jedes Unternehmen muss unter anderem den Nachweis erbringen, dass ge- eignete technische und organisatorische Mittel eingesetzt werden, um die Vorgaben der DSGVO erfüllen zu können. Auf Anfrage muss der Aufsichts- behörde auch das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung gestellt werden. Im Falle einer Datenpanne muss eine Meldung innerhalb der vorgesehenen Frist erfolgen. Deshalb sind auch Auftragsverarbeiter dazu verpflichtet, Da- tenpannen unverzüglich dem Verantwortlichen zu melden. Die Aufsichtsbehörde muss vorab konsultiert werden, wenn sich aus der Da- tenschutz-Folgeabschätzung ein hohes Risiko ergibt und keine entsprechen- den Maßnahmen erfolgen. Dazu gehören die Bereitstellung von Informatio- nen, wie beispielsweise Angaben zu den Zuständigkeiten bei der Verarbei- tung, Angaben zu den an der Verarbeitung beteiligten Auftragsverarbeitern, eine Darstellung der Zwecke und Mittel der Verarbeitung, die Beschreibung der zum Schutz betroffener Personen vorgesehenen Maßnahmen und Ga- rantien, die Bekanntgabe der Kontaktdaten des Datenschutzbeauftragten und die Dokumentation, dass bereits eine Datenschutz-Folgenabschätzung durchgeführt wurde. Die Aufsichtsbehörde hat unter anderem folgende Untersuchungsbefug- nisse: Sie darf den Verantwortlichen sowie den Auftragsverarbeiter anwei- sen, alle zur Erfüllung ihrer Aufgaben erforderlichen Informationen zur Verfügung zu stellen. Verantwortliche und Auftragsverarbeiter müssen der Aufsichtsbe- hörde Zugang zu Geschäftsräumen einschließlich aller Datenverar- beitungsanlagen und -geräte gewähren. Sie darf Datenschutzüberprüfungen durchführen. 57 Vgl. Pfeifer, Oksana (2019). 69 Datenschutz Die Aufsichtsbehörde ist berechtigt, Daten von durchgeführten Zer- tifizierungen zu überprüfen. Sie kann Hinweise auf Verstöße gegen die DSGVO aussprechen. Nicht zuletzt darf die Aufsichtsbehörde Maßnahmen bis hin zu Bußgeldern, Einschränkungen oder dem Verbot der Verarbeitung verhängen. Die Auf- sichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen ein- schließlich gemeinsamer Untersuchungen und gemeinsamer Durchset- zungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Auf- sichtsbehörden anderer Mitgliedstaaten teilnehmen. Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsa- men Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstüt- zenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefug- nisse übertragen. Soweit dies nach dem Recht des Mitgliedstaats der einla- denden Aufsichtsbehörde zulässig ist, kann sie den Mitgliedern oder Be- diensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersu- chungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegen- wart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladen- den Aufsichtsbehörde. 5.5 Risiko-Management Durch den Einsatz von IT-Systemen und elektronisch gespeicherten Daten entstehen Risiken, die genauso wie alle anderen unternehmerischen Risiken behandelt werden müssen. Zu diesem Zweck sollten die folgenden Überle- gungen angestellt werden. Voraussetzung für ein IT-Risiko-Management ist eine Erhebung und Auflis- tung aller Unternehmenswerte im IT-Bereich. Dazu zählen unter anderem IT-Systeme, Software und Lizenzen, Infrastruktur, Informationen wie Fir- mendaten, Kundendaten und Verträge etc., aber auch personelle Ressour- cen. In einem nächsten Schritt müssen diese Werte nach ihrem Schutzbedarf klassifiziert werden. Dazu sollten zu jedem einzelnen Unternehmenswert entsprechende Überlegungen angestellt werden. 70 Datenschutz Dazu zählen unter anderem folgende Fragestellungen: Wie lange kann das Unternehmen ohne das betreffende IT-System, die betreffenden Daten, bestimmte Mitarbeiter etc. überleben? Wie schnell müssen diese Werte wieder verfügbar sein, um ernsthafte Schäden zu vermeiden? Welcher Schaden entsteht, wenn die betreffenden Daten in die Hände eines Konkurrenzunternehmens fallen oder ein bestimmter Mitarbeiter zur Konkurrenz abwandert? Welche Probleme sind zu er- warten, wenn bestimmte Informationen öffentlich werden? Welcher Schaden entsteht, wenn beispielsweise die Buchhaltung oder die Kundendatenbank aus Versehen, durch Manipulation eines Mitarbeiters oder aufgrund eines Virenangriffs falsche Einträge ent- hält? Anhand dieser Fragen muss festgelegt werden, welche Werte eine hohe bzw. die höchste Priorität für das Unternehmen haben und daher besonders gut geschützt werden müssen. Für weniger wichtige Werte reichen dagegen oft schwächere Schutzmaßnahmen aus. Bevor für IT-Werte Schutzmaßnahmen geplant werden können, müssen die möglichen Bedrohungen erfasst und realistisch eingeschätzt werden. Im Allgemeinen besteht das Risikomanagement aus vier Phasen, die sich zyk- lisch wiederholen: Risikoidentifikation, Risikobewertung, Risikostrategie und Risikosteuerung. Dies erfolgt oft jährlich im Zuge der Budgetplanung. Abbildung 9: Effektives Risikomanagement58 Typische Bedrohungen sind unter anderem technische Probleme, wie Hard- ware- oder Netzwerkausfälle, Fehlfunktionen der Software, Störungen der 58 Abbildung i.A.a.: https://www.computerwoche.de/article/2769982/was-unternehmen- beachten-muessen.html 71 Datenschutz Stromversorgung oder eine fehlende Klimatisierung. Durch eine ungenü- gende Dokumentation, fehlende Schulungen, ungeklärte Zuständigkeiten oder fehlende Richtlinien können organisatorische Mängel entstehen. Durch ein fahrlässiges Benutzerverhalten kann es zu Bedienungs- und Wartungs- mängel, Nichtbeachtung von Sicherheitsmaßnahmen oder zu einem fehlen- den Sicherheitsbewusstsein kommen. Vorsätzliche Handlungen können zu Computermissbrauch, Datendiebstahl, zur Verbreitung von Schadsoftware, Social Engineering oder Phishing führen. Nicht zuletzt bestehen auch Gefah- ren durch höhere Gewalt, wie Brand- und Wasserschäden, Blitzschlag oder Sturmschäden.59 Für die einzelnen Unternehmenswerte muss jeweils eingeschätzt werden, welche dieser Bedrohungen eintreten könnten und wie wahrscheinlich de- ren Eintreten ist. Durch geeignete Sicherheitsmaßnahmen lassen sich die da- raus abgeleiteten Schwachstellen beheben. In Abhängigkeit von der Klassifikation der Unternehmenswerte und den er- hobenen Risiken müssen angemessene und zielgerichtete Sicherheitsmaß- nahmen geplant und umgesetzt werden. Dabei muss die Informationssicher- heit immer ganzheitlich betrachtet werden. Idealerweise wird einem Risiko mit einem Mix aus verschiedenen Maßnahmen begegnet. Im Falle einer ein- seitigen Herangehensweise ist es leicht möglich, dass eine Schwachstelle über andere Wege ausgenutzt werden kann und das Risiko weiter besteht. Maßnahmen können beispielsweise baulicher Natur sein, die personell-or- ganisatorische Sicherheit betreffen oder in technischen Vorkehrungen be- stehen. Die umgesetzten Maßnahmen müssen in laufenden Abständen auf ihre Wirksamkeit, Zweckmäßigkeit und Aktualität geprüft und gegebenen- falls angepasst werden. Bei Auftreten neuer Bedrohungen oder bei größeren Änderungen der IT-Infrastruktur kann es erforderlich sein, eine erneute Risi- koanalyse durchzuführen. 5.6 Einführung eines Datenschutz-Managementsys- tems Unter einem Datenschutz-Managementsystem wird die Gesamtheit aller do- kumentierten und implementierten Regelungen, Prozesse und Maßnahmen verstanden, mit denen der datenschutzkonforme Umgang mit personenbe- zogenen Daten im Unternehmen systematisch gesteuert und kontrolliert werden kann. Die Umsetzung eines Datenschutz-Managementsystems emp- fiehlt sich vor allem in größeren Unternehmen. 59 Vgl. WKO, IT-Sicherheitshandbuch für kleinere und mittlere Unternehmen (2018), S. 11. 72 Datenschutz Es gibt verschiedene Modelle, um ein Datenschutz-Managementsystem zu implementieren. Das gängigste Modell ist wohl der sogenannte PDCA-Zyk- lus, ein vierstufiger Regelkreis-Zyklus der für „plan“, „do“, „check“ und „act“ steht. Im ersten Schritt bedeutet „plan“, dass ein oder mehrere Ziele definiert und Maßnahmen festgelegt werden, um etwaige Lücken zu beseitigen. Der zweite Schritt („do“) befasst sich mit der vorläufigen Umsetzung der vorab definierten Maßnahmen. In einem dritten Schritt („check“) werden die im- plementierten Ziele und Maßnahmen überprüft und gegebenenfalls überar- beitet. Im vierten Schritt („act“) werden die Ziele und Maßnahmen endgültig umgesetzt. Diese Vorgänge können für einzelne oder mehrere Ziele und Maßnahmen im Sinne eines kontinuierlichen Verbesserungsprozesses wie- derholt werden.60 Abbildung 10: PDCA-Zyklus61 Ein Datenschutz-Managementsystem sollte Ziele, Prozesse und Maßnahmen zur Erfüllung und Dokumentation der Anforderungen der DSGVO in einem Unternehmen beinhalten. Die Umsetzung und Implementierung stellen eine zeitintensive Herausforderung dar, weshalb damit rechtzeitig begonnen werden sollte. 60 Vgl. Pachinger, Michael (2019), S. 92f. 61 Abbildung i.A.a.: https://alphadi.de/pdca-zyklus/ 73 Datenschutz Die Datenschutzkultur in einem Unternehmen sollte ein „Mission State- ment“ und eine richtungsweisende Strategie enthalten. Die Anforderungen der DSGVO können beispielsweise als eine Chance gesehen werden, sich auch im Bereich des Datenschutzes und der Datensicherheit am Markt zu etablieren oder sich eventuell von anderen Marktteilnehmern abzuheben. Die Datenschutzziele sollten sich dabei einerseits auf die Grundsätze der DSGVO beziehen, andererseits aber auch künftige Ziele aufnehmen. Allen Mitarbeitern im Unternehmen sollte dabei klar sein, welche Handlungen ge- setzt oder unterlassen werden sollen, um die Grundsätze der Verarbeitung von personenbezogenen Daten umzusetzen. Der operative Kern eines Datenschutz-Managementsystems besteht in ei- nem Datenschutzprogramm, das eine Datenschutzrichtlinie und weitere Richtlinien in Bezug auf die notwendigen Datenschutzprozesse im Unterneh- men enthält. Ziel einer Datenschutzrichtlinie ist es, einen verbindlichen Mindeststandard für die rechtskonforme Verarbeitung festzulegen und die Datenschutzziele festzuhalten. Ein wesentlicher Bestandteil der Datenschutzrichtlinie ist die Festlegung der Datenschutzorganisation, wobei zum Beispiel geklärt werden soll, ob ein Datenschutzbeauftragter bestellt wird oder nicht. Neben der per- sonellen Datenschutzorganisation ist auch die Organisation zur Einhaltung der Betroffenenrechte ein weiterer wesentlicher Bestandteil. Ein ausgerolltes Datenschutz-Managementsystem sollte stets intern proak- tiv kommuniziert werden, beispielsweise in Form von entsprechenden Trai- nings und Schulungen. Die Datenschutzkommunikation sollte sich jedoch nicht auf die Kommunikation zwischen der personellen Datenschutzorgani- sation und den Beschäftigten beschränken, sondern auch zwischen den ein- zelnen Akteuren der Datenschutzorganisation. Wichtig sind auch regelmä- ßige Updates, um ein nachhaltiges Bewusstsein für das Thema im Unterneh- men zu schaffen. Ein Datenschutz-Managementsystem muss ständig auf seine Wirksamkeit und Aktualität hin überwacht werden. Folgt es einem risikobasierten Ansatz, sind die identifizierten Risiken inklusive der Angemessenheit der ergriffenen Maßnahmen laufend zu kontrollieren. Vor allem in größeren Unternehmen empfiehlt sich die Etablierung eines Da- tenschutz-Managementsystems. Um einen kontinuierlichen Verbesserungs- prozess gewährleisten zu können, kann beispielsweise ein PDCA-Zyklus ein- Merksatz geführt werden. 74 Datenschutz 5.7 Haftungen, Strafrisiken und Sanktionen Verstöße gegen das Datenschutzrecht können für Verantwortliche und Auf- tragsverarbeiter strafrechtliche, verwaltungsrechtliche und/oder zivilrecht- liche Folgen nach sich ziehen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden sind dazu befugt, Geldbußen auch unmittelbar gegenüber Mitgliedern der Geschäftsführung zu verhän- gen. Durch eine gut strukturierte innerbetriebliche Datenschutzkontrolle bzw. klare Anweisungen und eine Sensibilisierung der Mitarbeiter können jedoch dazu beitragen, dass die Geschäftsführung eines Unternehmens ab- sichern, um nicht persönlich für hohe Geldbußen herangezogen zu wer- den.62 Ein interner Datenschutzbeauftragter haftet nur dann für einen Schaden, wenn er selbst als Arbeitnehmer eine Datenschutzverletzung begeht oder eine solche durch eine entsprechende Fehlberatung oder Inaktivität massiv begünstigt und dabei grob fahrlässig gehandelt hat. Der Datenschutzbeauf- tragte steht also erst dann im Fokus, wenn der Verantwortliche nach einer erfolgten Schadenersatzleistung eine Rückforderung geltend macht. Für einen externen Datenschutzbeauftragten kommt die genannte Haf- tungsbeschränkung nicht zum Tragen. Allerdings kann eine vertragliche Haf- tungsbeschränkung zwischen dem Verantwortlichen und dem externen Da- tenschutzbeauftragten vereinbart werden. Bei einer gemeinsamen Verantwortlichkeit kann im Fall von Schadenersatz- ansprüchen einer betroffenen Person jeder Verantwortliche für den gesam- ten Schaden haften, um einen wirksamen Schadenersatzanspruch für die be- troffene Person sicherzustellen. Diese gesamtschuldnerische Haftung der gemeinsam Verantwortlichen nach der DSGVO kann nicht vertraglich abge- ändert werden. Eine Vertragspartei ist jedoch berechtigt, von der jeweils an- deren Vertragspartei den Teil des Schadenersatzes zurückzufordern, der ih- rem Anteil an der Verantwortung für den Schaden entspricht. Daher sollte vorab vertraglich geregelt werden, dass die Vertragsparteien von der Haf- tung befreit sind, wenn sie nachweisen können, dass sie in keiner Hinsicht für den Schaden verantwortlich sind. m Falle einer rechtswidrigen Datenverarbeitung durch die Hoheitsverwal- tung richtet sich der Schadenersatzanspruch gemäß dem Amtshaftungsge- setz gegen den jeweiligen Rechtsträger. In diesem Fall können der Bund, die 62 Vgl. Kunnert, Gerhard (2019), S. 109. 75 Datenschutz Länder, die Gemeinden oder andere Körperschaften des öffentlichen Rechts für den Schaden haftbar gemacht werden. Die Datenschutzbehörde hat neben einer Verwarnung auch schon bei erst- maligen Verstößen die Möglichkeit, eine Geldbuße zu verhängen. Im Falle des Verstoßes gegen mehrere Bestimmungen der DSGVO durch ei- nen Verarbeitungsvorgang oder durch mehrere miteinander verbundene Verarbeitungsvorgänge darf der Gesamtbetrag der Geldbuße nicht den Be- trag für den schwerwiegendsten Verstoß übersteigen. Es gilt zu beachten, dass die Datenschutzbehörde nicht nur im Falle einer datenschutzwidrigen Verarbeitung von personenbezogenen Daten Strafen verhängen kann. Auch bei nicht rechtzeitiger, falscher oder einer unvoll- ständigen Auskunft im Falle eines Auskunftsbegehrens können entspre- chende Geldbußen verhängt werden.63 Die Geschäftsführung eines Unternehmens kann sich durch entsprechende Maßnahmen absichern, damit sie nicht persönlich für hohe Geldbußen her- angezogen wird. Dazu gehört eine entsprechend gut strukturierte innerbe- triebliche Datenschutzkontrolle, insbesondere durch die Einsetzung eines Datenschutzbeauftragten, sowie klare Anweisungen an die Mitarbeiter. Er- gänzend können auch Datenschutz-Audits durchgeführt werden.64 In besonders schwerwiegenden Fällen datenschutzrechtlicher Verstöße be- steht die Möglichkeit, strafrechtlich belangt zu werden. Für derartige Delikte ist mit Freiheitsstrafen bis zu einem Jahr oder Geldstrafen bis zu 720 Ta- gessätzen zu rechnen. Die Sanktionen durch die Datenschutzbehörde können entweder allein oder gemeinsam mit einer Geldbuße verhängt werden, wobei mehrere Sanktio- nen gleichzeitig verhängt werden können. Im Einzelnen können folgende Abhilfemaßnahmen ausgesprochen werden: Warnung, wenn beabsichtigte Verarbeitungsvorgänge voraussicht- lich gegen die DSGVO verstoßen Verwarnung bei erfolgtem Verstoße gegen die DSGVO Anweisung zur Entsprechung von Anträgen Betroffener Anweisung, Verarbeitungsvorgänge so anzupassen, dass sie der DSGVO entsprechen, wobei auch die Art der Anpassung und die Frist zur Umsetzung der Anweisung vorgegeben werden können Anweisung zur Benachrichtigung von Betroffenen von einer Verlet- zung des Schutzes personenbezogener Daten 63 Vgl. Art. 83, Abs. 5 DSGVO. 64 Vgl. Kunnert, Gerhard (2019), S. 109. 76 Datenschutz vorläufige oder endgültige Beschränkung der Verarbeitung bzw. Verhängung eines Verarbeitungsverbotes Anordnung von Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten, einschließlich der Anord- nung zur Benachrichtigung von Empfängern, denen gegenüber die personenbezogenen Daten offengelegt wurden Widerruf einer Zertifizierung oder Anordnung gegenüber der Zerti- fizierungsstelle, eine solche zu widerrufen Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisa- tion Dabei wird die Datenschutzbehörde entweder von Amts wegen oder auf- grund einer Beschwerde eines Betroffenen tätig und leitet ein entsprechen- des Verfahren ein. Strafbescheide der Datenschutzbehörde können mittels Beschwerde an das Bundesverwaltungsgericht angefochten werden. Von der Datenschutz- behörde erlassene Mandate können innerhalb von zwei Wochen ab Zustel- lung angefochten werden. Zivilrechtliche Ansprüche können von Betroffenen wegen eines realen oder behaupteten Verstoßes gegen die DSGVO bei Gericht geltend gemacht wer- den. Betroffene können etwa Schadenersatzansprüche gegen den Verant- wortlichen und ggf. gegen Auftragsverarbeiter geltend machen. Ein Scha- denersatzanspruch eines externen Geschädigten richtet sich in erster Linie gegen den Verantwortlichen oder den Auftragsverarbeiter. Strafen können gegenüber juristischen und natürlichen Personen verhängt werden. Zur Sicherung eines geltend gemachten Schadenersatzanspruches kann eine Klage zusätzlich mit einem Antrag auf Erlassung einer einstweiligen Verfü- gung zur Abwendung eines drohenden unwiederbringlichen Schadens ver- bunden werden. Ein Betroffener kann vom Verantwortlichen durch eine datenschutzwidrige Verarbeitung seiner Daten auch den Ersatz von immateriellem Schaden ver- langen. Dieser ist bei einem örtlich zuständigen Landesgericht für Zivil- rechtssachen geltend zu machen. Grundsätzlich haftet immer der Verantwortliche und/oder der Auftragsver- arbeiter bei Verstößen gegen das Datenschutzrecht. Die Datenschutzbe- hörde ist zusätzlich zur Verhängung von Geldbußen dazu befugt, eine Reihe Merksatz von Sanktionen zu verhängen. 77 Datenschutz Reflexionsfragen: Was ist unter technischen und organisatorischen Maßnahmen zu Reflexionsfragen verstehen? Welche Aufgaben hat ein Datenschutzbeauftragter? Welche Haftungen und Strafrisiken bestehen für den Verantwortli- chen? 78

Datenschutz - Aufgaben und Verantwortung - PDF

Document Details

Tags

Related

Summary

Full Transcript