Wenn Datenschutz und Alltag aufeinandertreffen, kommt es schon einmal zu Unstimmigkeiten. Da nicht eingehaltene Vorschriften der DSGVO teure Folgen nach sich ziehen k\u00f6nnen, ist die Einrichtung festgelegter Verfahren f\u00fcr die Verarbeitung personenbezogener Daten ein wichtiger Schritt, um solchen Schwierigkeiten aus dem Weg zu gehen.<\/p>\n
<\/p>\n
Verst\u00f6\u00dfe gegen die Datenschutz-Grundverordnung (DSGVO) kommen regelm\u00e4\u00dfig vor, oft genug aus Unwissen oder aus Achtlosigkeit \u2013 die dann verh\u00e4ngten Bu\u00dfgelder k\u00f6nnen aber derart hoch ausfallen, dass sie weit jenseits eines \u201eKann-mal-passieren-Versto\u00dfes\u201c liegen. Ein Beispiel:\u00a0Aus einer Pressemitteilung der Landesbeauftragten f\u00fcr den Datenschutz (LfD) Niedersachsen ist zu erfahren, dass diese eine Geldbu\u00dfe \u00fcber 10,4 Millionen Euro gegen\u00fcber der notebooksbilliger.de AG ausgesprochen hat. Das Unternehmen hatte \u00fcber mindestens zwei Jahre seine Besch\u00e4ftigten per Video \u00fcberwacht, ohne dass daf\u00fcr eine Rechtsgrundlage vorlag. Die unzul\u00e4ssigen Kameras erfassten unter anderem Arbeitspl\u00e4tze, Verkaufsr\u00e4ume, Lager und Aufenthaltsbereiche.<\/p>\n
Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzukl\u00e4ren sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebst\u00e4hlen muss eine Firma aber zun\u00e4chst mildere Mittel pr\u00fcfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsst\u00e4tte). Eine Video\u00fcberwachung zur Aufdeckung von Straftaten ist zudem nur rechtm\u00e4\u00dfig, wenn sich ein begr\u00fcndeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zul\u00e4ssig sein, diese zeitlich begrenzt mit Kameras zu \u00fcberwachen. Bei notebooksbilliger.de war die Video\u00fcberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Besch\u00e4ftigte beschr\u00e4nkt. Hinzu kam, dass die Aufzeichnungen in vielen F\u00e4llen 60 Tage gespeichert wurden und damit deutlich l\u00e4nger als erforderlich.<\/p>\n
Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzul\u00e4ssigen Video\u00fcberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise l\u00e4nger aufhalten, zum Beispiel um die angebotenen Ger\u00e4te ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzw\u00fcrdige Interessen. Das gilt besonders f\u00fcr Sitzbereiche, die offensichtlich zum l\u00e4ngeren Verweilen einladen sollen. Deshalb war die Video\u00fcberwachung durch notebooksbilliger.de in diesen F\u00e4llen nicht verh\u00e4ltnism\u00e4\u00dfig.<\/p>\n
Die Liste mit Beispielen f\u00fcr drakonische Strafen ist lang und prominent, die zugeh\u00f6rigen Strafen sind mehr als erheblich \u2013 betroffen sind beispielsweise Konzerne wie Google, Marriott oder British Airways \u2013 es steht also fest, dass sich Investitionen in die DSGVO-Konformit\u00e4t eines Unternehmens lohnen. Dabei gibt es eine Menge Stolpersteine, die sich zu einem un\u00fcberwindbaren Hindernis auft\u00fcrmen k\u00f6nnen, wenn man nicht auf kompetente Hilfe zur\u00fcckgreifen kann \u2013 etwa auf den Dietzenbacher IT-Dienstleister und Managed Service Provider Controlware, der schon zahlreiche Unternehmen auf dem Weg zur DSGVO-Konformit\u00e4t unterst\u00fctzt hat.\u00a0Dort kennt man auch den k\u00fcrzesten Weg zu dieser Konformit\u00e4t.<\/p>\n
Typische Ausgangsfragen dabei sind: Welche Daten werden firmenintern erhoben (Personalstammdaten, Adressb\u00fccher, Telefonketten, sonstige \u00dcberbleibsel der Offline-Zeiten)? Welche Daten werden von Kunden und Lieferanten erhoben? Welche Daten sind f\u00fcr Marketingzwecke gespeichert? Diese Bestandsaufnahme hilft dabei, festzustellen, welche Datenbest\u00e4nde denn grunds\u00e4tzlich in einem Unternehmen vorhanden sind und weiter auflaufen werden \u2013 anschlie\u00dfend ist es viel einfacher zu \u00fcberpr\u00fcfen, ob die zugeh\u00f6rigen Vorschriften der DSGVO angewandt werden \u2013 die gr\u00f6\u00dfte Gefahr der Verletzung vor Vorschriften geht von Datenbest\u00e4nden aus, von denen man gar nicht wei\u00df, dass sie existieren. Hier hilft es, wenn externe Personen kontrollieren, ob die Angaben der Mitarbeiter \u2013 die durch firmeninternes Wissen vorgepr\u00e4gt sind \u2013 dann auch tats\u00e4chlich korrekt sind und so zur Bewertung der DSGVO-Relevanz herangezogen werden k\u00f6nnen.<\/p>\n
Dazu muss klar sein, wo im Netz die bestehenden Daten gespeichert werden, und ob diese f\u00fcr die DSGVO relevant sind. Wenn sie das sind, legt man die korrekten L\u00f6schfristen fest und sorgt f\u00fcr eine zuverl\u00e4ssige und reproduzierbare Umsetzung.<\/p>\n
Ein Berechtigungskonzept ist ein wichtiges Schriftst\u00fcck bzw. digitales Dokument innerhalb der Organisation des Verantwortlichen f\u00fcr die Datenverarbeitung, um erlaubte Zugriffe auf Daten zu dokumentieren und klarzustellen, welche Zugriffe f\u00fcr wen (nicht) erlaubt sind. Aus dem Berechtigungskonzept muss sich ergeben, welche Personen bzw. Personengruppen und Abteilungen Zugriff auf welche Art von personenbezogenen Daten haben. Nur auf diese Weise kann eine effektive Zugangs- und Zugriffskontrolle gew\u00e4hrleistet werden. Auch wenn aktuelle Trends wie Big Data, Internet of Things oder Cloud-Dienste die Erstellung und fortlaufende Aktualisierung eines Berechtigungskonzepts erschweren, ist es aufgrund der Entwicklung von dynamischen und agilen Prozessen rund um die Verarbeitung von personenbezogenen Daten (z.B. Bring your own device, Wechsel von Rollen f\u00fcr Programme, Onboarding von neuen Mitarbeitern und Offboarding von ehemaligen Mitarbeitern) umso wichtiger, ein umfassendes und nachweisbares Berechtigungskonzept zu erstellen, damit unbefugte Personen keinen unberechtigten Zugang zu personenbezogenen Daten erhalten k\u00f6nnen.<\/p>\n
Aus dem Berechtigungskonzept muss sich ergeben, welche Zugriffe auf personenbezogene Daten erlaubt sind und welche Zugriffe nicht gestattet werden. Dabei muss das Gleichgewicht zwischen Beschr\u00e4nkung und Erlaubnis von Zugriffen erreicht werden, damit das Berechtigungskonzept auf der einen Seite nicht die Produktivit\u00e4t und die Wirtschaftsabl\u00e4ufe eines Unternehmens einschr\u00e4nkt, auf der anderen Seite aber auch gleichzeitig den Datenschutz effektiv einh\u00e4lt, damit keine Datenschutzverst\u00f6\u00dfe entstehen k\u00f6nnen. Keine bzw. nicht ausreichende Berechtigungskonzepte sorgen daf\u00fcr, dass die Zugangs- und Zugriffskontrolle im Sinne von Artikel 32 DSGVO, \u00a7 64 Abs. 1 Nr. 1, Nr. 5 BDSG-neu nur erschwert bis gar nicht erfolgen kann1. Auch auf die Zutrittskontrolle hat ein Berechtigungskonzept eine enorme Wirkung.<\/p>\n
Damit die Regelungen hausintern auch durchgehend befolgt werden (k\u00f6nnen), ist in Unternehmen mit mehr als 19 Mitarbeitern, die personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter Pflicht.\u00a0Wie solche Regeln aussehen m\u00fcssen und wie man sie im praktischen Alltag durchsetzt, diese Themen sind bei Controlware schon einige Male abgearbeitet worden \u2013 wer auf diese Erfahrung setzt, wird keinen echten Fehler machen.<\/p>\n
Mit dem Standard-Datenschutzmodell (SDM) wird ein Werkzeug bereitgestellt, mit dem die Auswahl und die kontinuierliche Evaluation technischer und organisatorischer Ma\u00dfnahmen unterst\u00fctzt wird, die sicherstellen und den Nachweis daf\u00fcr erbringen, dass die Verarbeitung personenbezogener Daten nach den Vorgaben der DSGVO erfolgt. Diese Ma\u00dfnahmen m\u00fcssen angemessen und geeignet sein, die Risiken f\u00fcr die Rechte und Freiheiten der von der Verarbeitung betroffenen nat\u00fcrlichen Personen so weit einzud\u00e4mmen, dass ein angemessenes Schutzniveau gew\u00e4hrleistet wird. F\u00fcr jede Verarbeitung ist also zu pr\u00fcfen, ob die personenbezogenen Daten durch eine angemessene Auswahl technischer und organisatorischer Ma\u00dfnahmen so verarbeitet werden, dass die Rechte der Betroffenen gewahrt bleiben und die Sicherheit der Verarbeitung gew\u00e4hrleistet wird (Kapitel III der DSGVO und die Bestimmungen zur Sicherheit der Verarbeitung gem\u00e4\u00df Art. 24, 25 und 32 DSGVO). Das SDM systematisiert diese Ma\u00dfnahmen auf der Basis von Gew\u00e4hrleistungszielen und unterst\u00fctzt somit die Auswahl geeigneter Ma\u00dfnahmen.2<\/p>\n
Im Datenschutzkonzept werden die f\u00fcr eine datenschutzrechtliche Beurteilung notwendigen Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschrieben. Es dokumentiert die Art und den Umfang der erhobenen, verarbeiteten oder genutzten personenbezogenen Daten. Die Beschreibung der Daten oder Datenfelder nennt man in der Regel Datenfeldkatalog. Aus der Festlegung datenschutzrechtlicher Anforderungen ergibt sich die Rechtsgrundlage und Zweckbindung f\u00fcr die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten. Eine Beschreibung der Schnittstellen als Schnittstellenkatalog und aller vorgesehenen Auswertungen von Daten (Auswertekatalog) geben einen \u00dcberblick \u00fcber die Nutzung bzw. \u00dcbermittlung von personenbezogenen Daten. Das Datenschutzkonzept gibt als umfassendes Dokument Auskunft \u00fcber die Rechtm\u00e4\u00dfigkeit der Datenverarbeitung bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten.3<\/p>\n
Diese Dokumentation der Verarbeitung personenbezogener Daten geh\u00f6rt zwingend zur Einhaltung der in der DSGVO enthaltenen Vorschriften. Denn so ist es bei eventuellen Kontrollen oder Audits f\u00fcr die kontrollierende Instanz leichter nachzuvollziehen, wo, wann und wof\u00fcr personenbezogene Daten gespeichert werden \u2013 und auch ob die Vorschriften zur Weitergabe, L\u00f6schung und derlei mehr eingehalten werden.<\/p>\n
Das Datenschutzaudit ist ein \u00dcberpr\u00fcfungselement. Mit einem solchen Audit soll sichergestellt werden, dass die Vorgaben zur Datenschutzgrundverordnung DSGVO eingehalten werden, diese sind mit vielen Dokumentationen und verschiedenen Verarbeitungsvorg\u00e4ngen verbunden. Im Rahmen eines Datenschutzaudits werden diese Vorg\u00e4nge \u00fcberpr\u00fcft, damit sich im Eifer der t\u00e4glichen Arbeit keine Ungenauigkeiten einschleichen. Wichtig ist, dass beim Audit alles aus zwei Sichten angegangen wird, einmal aus der Sicht einer verantwortlichen Person und einmal aus der Sicht eines Auftraggebers. Als Ergebnis des Audits wird kein Zertifikat der DSGVO-Konformit\u00e4t erteilt, denn dazu muss man das Verfahren nach Art. 42 DSGVO durchlaufen. Das Datenschutzaudit hilft aber bei der Konformit\u00e4tspr\u00fcfung zur Vorbereitung auf das Zertifikat und auch dabei, sp\u00e4tere Kontrollen unbeschadet zu \u00fcberstehen. Wie oben festgestellt drohen schlie\u00dflich drakonische Strafen bei Verletzung der Vorschriften. Selbstverst\u00e4ndlich f\u00fchrt auch Controlware derartige Audits durch und hilft dann auch bei der Behebung eventuell festgestellter Probleme.<\/p>\n
Controlware GmbH<\/p>\n
Waldstra\u00dfe 92<\/p>\n
63128 Dietzenbach<\/p>\n
\u00a0<\/p>\n
Tel.: +49 6074 858-00<\/p>\n
Fax: +49 6074 858-108<\/p>\n
E-Mail: info(at)controlware.de<\/p>\n
http:\/\/www.controlware.de<\/a> \/ http:\/\/blog.controlware.de<\/a><\/p>\n \u00a0<\/p>\n Stephan Mayer<\/p>\n \u00a0<\/p>\n \u00a0 2 \u00a0\u201eKonferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder (Datenschutzkonferenz)\u201c<\/p>\n 3 \u00a0https:\/\/de.wikipedia.org\/wiki\/Datenschutzkonzept<\/p>\n","protected":false},"excerpt":{"rendered":" Wenn Datenschutz und Alltag aufeinandertreffen, kommt es schon einmal zu Unstimmigkeiten. Da nicht eingehaltene Vorschriften der DSGVO teure Folgen nach sich ziehen k\u00f6nnen, ist die Einrichtung festgelegter Verfahren f\u00fcr die Verarbeitung personenbezogener Daten ein wichtiger Schritt, um solchen Schwierigkeiten aus dem Weg zu gehen.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-662","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/662","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=662"}],"version-history":[{"count":0,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/662\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=662"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=662"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=662"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
1 \u00a0\u201eKonferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder (Datenschutzkonferenz)\u201c<\/p>\n