Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Datenschutzbeauftragter

Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.

Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:

Herausforderungen für die Datenschutzbeauftragte

Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.

Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.

On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.

IT-Sicherheitsbeauftragter

Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.

Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.

Phishing erkennen

Wie erkennt man gefälschte E-Mails und gefälschte Webseiten war gestern das Thema bei einer internen Runde von Führungskräften bei einem Auftraggeber. Ich fasse die wichtigsten Erkenntnisse hier zusammen.

Links prüfen

Links prüfen! Gibt man in Google einen Suchbegriff ein, sollte man vor dem Aufruf einer der angezeigten Seiten zunächst einmal mit der Maus über den Link fahren – noch ohne die Seite aufzurufen. Dabei wird dann unten links im Browser die Adresse der jeweiligen Webseite angezeigt. Handelt es sich also zum Beispiel um eine deutsche Wikipedia Seite, müsste dann unten links im Browser wikipedia.de stehen. Stimmt die Überschrift in dem Link aus der Suche nicht mit dem überein, was unten im Browser angezeigt wird, ist Vorsicht geboten. Es könnte sich um eine gefälschte Webseite handeln.

Adressen prüfen

Auf Absender Adressen in E-Mails achten! Erhalten Sie eine E-Mail mit dem Absender Amazon. Service.com würde man denken, diese stammt von Amazon. Tut sie aber nicht. Entscheidend ist der Teil, der vor dem „com“ bzw. der entsprechenden Länderkennung (de etc.) steht. Es ist relativ einfach, zu Betrugszwecken eine Webseite zu bauen und in der Adresse irgendeine bekannte Firma davor zu setzen. So wie im Beispiel eben Amazon. Wir landen dann allerdings nicht bei Amazon, sondern bei Betrügern, die unsere Zugangskennungen und Kontodaten abfangen wollen.

Nicht unter Druck setzen lassen

Nicht unter Druck setzen lassen! Alle E-Mails oder auch Meldungen auf Webseiten, die irgendwie Druck ausüben, sind verdächtig. Beispiele sind Rechnungen, die am Freitagnachmittag ganz dringend schnell überwiesen werden müssen, oder Zugangsdaten, die sofort geändert werden sollen. Oder auch: Ihr Zugang wurde gesperrt! Klicken Sie hier und ändern Sie Ihre Zugangsdaten, ansonsten ist ihr Account nicht mehr nutzbar. Dabei ist es egal, ob diese Nachrichten von einer Adresse stammen, die Sie kennen. Möglicherweise sieht die Mail mit der dringlichst zu überweisenden Rechnung aus als käme sie tatsächlich aus der Buchhaltung Ihrer Firma. Das muss aber nicht so sein. Im Zweifel gilt: lieber fragen.

Dateiformate prüfen

Seltene Dateiformate erkennen! Dateianhänge an E-Mails werden in der Regel als PDF, Word Dokument oder auch Excel Dokument verschickt. Hat eine E-Mail einen Anhang in einem Dateiformat, dass Sie noch nie gesehen haben, öffnen Sie es vorsichtshalber nicht.

Fortsetzung folgt. Haben Sie Fragen oder benötigen Sie ein Datenschutztraining für Ihre Mitarbeitenden? Kontaktieren Sie uns gerne.

Wie Datenschutz funktioniert

Einmal die Woche kaufe ich auf dem Markt vor unserer Haustür Fleisch für meine Tochter. Ich habe dort eine Kundenkarte, mit der ich ein wenig Rabatt erhalte. Kürzlich hielt mir der Verkäufer den Kassenzettel über den Tresen und fragte, ob das eigentlich so in Ordnung ginge, also so wegen Datenschutz?

Auf dem Kassenzettel stand oben meine Adresse. Wer also den Zettel finden würde, hätte meinen Namen, meine Adresse und die Information wie viel Gramm Fleisch ich gekauft habe. Es habe sich ein Kunde beschwert, so der Verkäufer weiter. Dem habe er versehentlich den Kassenzettel eines anderen Kunden gegeben.

Die Händler sind verpflichtet, die Kassenzettel der Kundinnen, die eine Kundennummer haben, mit diesen Angaben zu versehen. Warum auch immer. Alle anderen kaufen anonym.

Gehen wir davon aus, dass es eine Vorgabe aus der Steuer- und Finanzbürokratie ist, die Kassenzettel in diesem Fall personenbezogen zu gestalten. Dann hätten wir als gesetzliche Erlaubnis Art. 6 Abs. 1 lit c) DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“. Daher: erstmal alles fein, es gibt eine gesetzliche Erlaubnis, diese Daten zu „haben“, weil die Bürokratie diesen Nachweis so vorschreibt.

Weiterhin wären die Daten technisch und organisatorisch so abzusichern, dass den Personen, zu denen sie gehören, kein Schaden entsteht. Auf der technischen Ebene hätten wir die Kassensysteme. Auf der organisatorischen die Anweisung an das Verkaufspersonal, mit den Kassenzetteln sorgsam zu sein und den Zettel für A auch an A zu übergeben.

Geht das schief, fällt es in die Abteilung Es Gibt Keine 100% Sicherheit. Fehler passieren. Davon abgesehen hält sich der Schaden für die Personen hier in engen Grenzen. Erstens sind die Adressen in der Regel ohnehin öffentlich und zweitens ist die Information analog. Die Information, dass ich am 21. November 2024 264 Gramm Hühnerfleisch gekauft habe, kann nicht durch Knopfdruck in Sekundenschnelle im Netz verbreitet und mit anderen Informationen über mich verbunden und genutzt werden.

Mehr Sorgen als über einen vertauschten Kassenzettel am Marktstand sollte man sich über Programme wie Payback machen. Die werten gnadenlos alle Informationen aus und verkaufen sie weiter.

Der Verkäufer hörte sich meinen Kurzvortrag an, dankte und sagte nun wisse er also, wie Datenschutz funktioniere. Ja, sagte ich. So funktioniert das. Im Großen wie im Kleinen.

Welche Datenschutzfragen können wir für Sie beantworten? Melden Sie sich gerne. Auch wenn ich gerne Fragen zu Kassenzetteln beantworte: die komplizierten Fragen sind mir die liebsten.

Datenschutz Adventskalener (3)

Digitale Bildung und damit der Schutz von Menschen durch Cyberangriffe ist heute wichtiger denn je. So hingeschrieben, klingt das erstmal völlig banal. Ich wünschte, es wäre banal. Der Grund liegt in der immer schnelleren Entwicklung der künstlichen Intelligenz, was vielen außerhalb von Fachkreisen noch gar nicht bewusst ist. Schon jetzt ist es möglich, mit einem Tonschnipsel von 30 Sekunden die Stimme einer Person für gefälschte Anrufe zu benutzen – um nur eine Möglichkeit zu nennen. Es ist nicht nur möglich, es wird gemacht.

Cybercrime - allgegenwärtig

Dasselbe gilt für Angriffe auf Netzwerke, die mit den Mitteln der künstlichen Intelligenz viel schneller und einfacher konstruiert und ausgeführt werden können als bisher. Es eröffnen sich ganz neue Möglichkeiten auch für Kriminelle, die begrenzt technisch versiert sind.

Ein aktuelles Beispiel aus Australien hat The Guardian kürzlich veröffentlicht.

Stellt man diese Möglichkeiten neben die immer noch weit verbreitete digitale Unwissenheit, kann einem schon mulmig werden. Hinzu kommt, dass in vielen Unternehmen in Bezug auf die Etablierung von Informationssicherheit nunmehr eine gefühlte Sicherheit herrscht, als eine transparente und durchdachte.

„Wir haben ja ein Back-Up, also sind wir sicher“ ist eine weit verbreitete Aussage. In dieser Allgemeinheit kann aber niemand wissen, ob das Back-Up im Ernstfall standhält. „Standhalten“ heißt: sind alle Daten in einem Back-Up aktuell und verfügbar, die für den reibungslosen Betrieb des Unternehmens verfügbar sein müssen? Wird nur einmal wöchentlich eine Versicherung angefertigt, gehen im Zweifel Daten verloren. Das kann ein akzeptables Risiko sein - oder aber auch nicht. Falls nicht, muss man es wissen und gegebenenfalls weitere Maßnahmen ergreifen. Außerdem ist fraglich, ob nach einem Datenverlust das Back-Up auch zeitnah und vollständig wieder eingespielt werden kann. Um das zu wissen, sind regelmäßige Tests erforderlich.

IT-Sicherheitsbeauftragter behält den Überblick

Solche Fragen im Blick zu behalten und gezielt zu bearbeiten, ist die Aufgabe eines IT-Sicherheitsbeauftragten im Unternehmen. Unter anderem.

Sprechen Sie uns gerne an, wenn Sie Unterstützung brauchen oder einen IT-Sicherheitsbeauftragten bestellen wollen!

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Datenschutz Adventskalender (1)

Meine Schwester fiel kürzlich auf einen fiesen Trick der Cybermafia herein und verlor eine erhebliche Summe Geld. Sie klickte auf einen Link in einer iMessage: „Hier ist ihre Sparkasse. Klicken Sie auf diesen Link und ändern Sie die Zugangsdaten für Ihr online Banking“.

Das Millionenerbe

Ungefähr drei Tage später bekam ich einen Anruf von ihrem Mann, meinem Schwager. Seine Mutter habe ein Schreiben von einem englischen Anwalt bekommen, der suche einen Erben für ein Millionenvermögen. Ob ich mir das mal ansehen könne. Ich ahnte, was kommen würde.

Der Brief war an den Vater meines Schwagers adressiert, der aber schon gut 20 Jahre tot ist. Allein das hätte misstrauisch machen müssen. Mein Schwager aber meinte, das wirke schon alles seriös, die Briefeschreiber hätten „auch eine Webseite“. Lieber Schwager, sagte ich. Eine Webseite fälschen kann sogar ich.

Wieder drei Tage später bekam ich eine Nachricht aufs Telefon. „Hallo Papa, dies ist meine neue Nummer, bitte schreib' mir auf Whatsapp“. Mein angebliches Kind brauchte dringend 1.800 EUR, noch dieses Wochenende.

Diese Vorfälle zeigen, warum es keine unwichtigen Daten gibt. Anders als immer noch viele Menschen annehmen. Jeder Diebstahl auch nur einer E-Mail-Adresse oder einer Telefonnummer wird dazu genutzt, die Information mit anderen zu verknüpfen (die in der Regel auch gestohlen wurden). Damit können dann wieder neue Opfer attackiert werden. Deshalb: es ist nie „nur eine E-Mail“, wenn irgendwo Daten gestohlen werden. Die E-Mail ist nur der Anfang.

Hier hatte man offenbar aus den Daten meiner Schwester weitere Verbindungen hergestellt. Frei nach dem Motto, vielleicht gibt es ja noch mehr Dumme in der Familie.

Ach und übrigens, Stichwort Dummheit. Schuld an solchen Taten haben immer die Täter, nie die Opfer. Wir mögen es als dumm ansehen, auf solche Tricks hereinzufallen. Passieren kann es jedem von uns.

Sie möchten mehr über das Thema erfahren? Sprechen Sie uns gerne an.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

Das Buch zum Datenschutz

Bald ist es ein Jahr her, dass mein Buch zum Datenschutz erschien: "Nützliches Wissen über Datenschutz. Ein beratender Erfahrungsbericht".

Erhältlich hier und überall, wo es Bücher gibt - als Taschenbuch oder eBook.

Stimmen von Leserinnen und Lesern:

"Eine gelungene Mischung aus Essay und Sachbuch!"

"Ich finde, Sie haben ein schönes, informatives, politisch wichtiges und lesenswertes Buch geschrieben, dem ich möglichst viele Leser wünsche. Die persönlichen Aspekte machen es besonders und das abstrakte Thema greifbar."

"Dieses Buch sollten bei mir im Unternehmen alle lesen."

"Großes Kompliment, es liest sich sehr unterhaltsam – und das trotz des ja sehr komplexen Themas."

"So bildhaft und mit amüsanten Beispielen unterlegt, sind Sachbücher sehr, sehr selten. Zumal du auch das Können von Top-Textern beherrscht, knappe, klare Sätze. Brilliant."

Auftragsverarbeitung. Das ewige Ärgernis

Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.

Dieses Jahr feiert die DSGVO ihren 5. Geburtstag - zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre ... 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.

Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.

Absichtserklärungen und Prosa

Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.

Beispiele aus der jüngsten Zeit

Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.

Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.

Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!

Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.

Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.

Ärger von allen Seiten

Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.

Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.

Warum fragt eigentlich niemand?

Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.

Nicht beschrieben, nicht existent

Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?

Der Poet

Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.

Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.

Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;

§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"

Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"

Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.