Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Datenschutzbeauftragter

Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.

Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:

Herausforderungen für die Datenschutzbeauftragte

Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.

Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.

On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.

IT-Sicherheitsbeauftragter

Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.

Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Auftragsverarbeitung. Das ewige Ärgernis

Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.

Dieses Jahr feiert die DSGVO ihren 5. Geburtstag - zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre ... 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.

Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.

Absichtserklärungen und Prosa

Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.

Beispiele aus der jüngsten Zeit

Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.

Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.

Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!

Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.

Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.

Ärger von allen Seiten

Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.

Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.

Warum fragt eigentlich niemand?

Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.

Nicht beschrieben, nicht existent

Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?

Der Poet

Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.

Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.

Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;
§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"
Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"
Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.

Was können wir für Sie tun?

Von der Datenschutzangst und der Datenschutzausrede

Das Ende der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 sorgte in vielen Unternehmen für eine Art Torschlusspanik in Sachen Datenschutz und IT-Sicherheit. Die allgemeine Verunsicherung legte sich nur langsam: Das Stichwort Datenschutz-Grundverordnung scheint bei vielen Verantwortlichen in Unternehmen auch Jahre später noch immer einen diffusen Eindruck von Defiziten und Gefahr zu bewirken.

Auf der Grundlage der geltenden Datenschutzgesetze können mehr als 99% aller Prozesse in Unternehmen und Behörden geregelt werden.

Für Panik besteht jedoch kein Anlass. Entgegen anderslautenden Gerüchten stehen nicht alle Verantwortlichen, die die Anforderungen der DSGVO in ihren Unternehmen immer noch nicht umgesetzt haben, mit einem Bein im Gefängnis. Ebenso wenig geht der Mittelstand an hohen Bußgeldern für Datenschutzverstöße zugrunde – oder an den Kosten für die externen Datenschutzbeauftragten, um die Bußgelder zu vermeiden.

Nicht-Entscheidungen werden in Unternehmen und Behören regelmäßig mit Datenschutz gerechtfertigt.

Andererseits sollte sich niemand zurücklehnen und die Themen Datenschutz-Grundverordnung und IT-Sicherheit als Themen betrachten, die wie so viele andere Hypes schon wieder vergehen werden. Nicht-Handeln ist keine Option, Datenschutz als Ausrede auch nicht.

Vergessen Sie für einen Moment die Gesetze. Die Absicherung Ihrer IT-Infrastruktur bedeutet nicht weniger als die Grundlage für Ihren wirtschaftlichen Erfolg.

Als langjährig erfahrene Datenschutzberater und externe Datenschutzbeauftragte leiten wir Sie durch Vorschriften und Prozesse und unterstützen Sie beim Aufbau einer guten Datenschutzorganisation und eines IT-Sicherheitsmanagementsystems. Sofern gewünscht, können Sie uns auch als externe IT-Sicherheitsbeauftragte bestellen.

Es geht um Entscheidungen. Wir helfen Ihnen dabei.

Kontaktieren Sie uns gerne persönlich.

Datenschutz-Dokumentation PrivCom X.0

Einer der Gründe warum ich meine Arbeit liebe ist, dass sie nie langweilig wird. Dass wir uns und unsere Angebote an Auftraggeber immer weiterentwickeln und neu erfinden müssen. Müssen und wollen, denn dieser Prozess ist uns auch ein Vergnügen.

Seit dem vorletzten Sommer habe ich mit meinem Kollegen Kersten Gevers länger über die Frage nachgedacht, wie wir eine möglichst kompakte Datenschutzdokumentation abbilden. Die ersten Erfahrungen mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) machten deutlich, dass mit der DSGVO die Anforderungen an eine sorgfältige Dokumentation der Datenschutzorganisation eines Unternehmens erheblich gestiegen sind. Hinzu kamen die durch die DSGVO verschärften Haftungsvorschriften und erhöhten Bußgelder, die nur zu begrenzen sind, wenn man gute Datenschutzstandards nicht nur behaupten, sondern auch nachweisen kann.

Wir wollten eine Dokumentation, die für unsere Auftraggeber das Wesentliche immer im Überblick bereithält, und gleichzeitig uns die Arbeit erleichtert.

Herausgekommen ist die Datenschutz-Dokumentation PrivCom X.0 – so habe ich sie bezeichnet, bis mir ein besserer Titel einfällt. Seit dem Frühjahr ist sie einsatzbereit und wird ständig weiterentwickelt und verbessert. Letzter Neuzugang war im Juli eine Dokumentationsstruktur für ein Informationssicherheitsmanagementsystem (ISMS), integrierbar entweder in die Datenschutzorganisation oder als eigenständiges Werkzeug.

Die Datenschutz-Dokumentation im Einzelnen

Die Datenschutz-Dokumentation PrivCom X.0 besteht aus insgesamt 25 Themenordnern, deren Inhalte die nach Art. 5 DSGVO erforderlichen Nachweise für eine gute Datenschutz-Dokumentation abbilden. Zu fast jedem Thema gibt es Mustertexte und einen Archivordner. Für jedes Thema ist ein Inhaltsverzeichnis mit Versionshistorie vorgegeben, so dass auf den ersten Blick der jeweils letzte Stand eines Dokuments ersichtlich ist. Für kleinere Unternehmen oder solche mit weniger sicherheitskritischer Datenverarbeitung gibt es eine etwas reduzierte Version mit 16 Themenordnern. Beide Versionen sind sowohl auf Deutsch als auch in englischer Sprache verfügbar. Hinzu kommt die Dokumentationsstruktur für ein ISMS, die derzeit aus 3 Themenordnern mit mehreren Unterthemen besteht.

Ihre Vorteile

Sie können mit Hilfe dieser vorgegebenen Struktur die einzelnen Datenschutz- und IT-Sicherheitsthemen sehr einfach von Anfang bis Ende systematisch durcharbeiten. Es gibt einen klaren Anfang und ein vorhersehbares Ende, so dass Sie nicht überlegen müssen, welche Punkte Sie möglicherweise vergessen haben. (Wir müssen das auch nicht, für den Fall, dass wir Sie unterstützen). Ist das Durcharbeiten einmal erfolgt, haben Sie eine Übersicht über die Lücken in Ihrer Datenschutzorganisation und Sie können gezielt nacharbeiten. Auf dieselbe Weise lässt sich eine interne Überprüfung einer vollständigen Dokumentation recht einfach bewerkstelligen. Sollten Sie sich mit einer Überprüfung durch eine Aufsichtsbehörde konfrontiert sehen, haben Sie einen jederzeit verfügbaren, übersichtlichen Nachweis über den aktuellen Stand Ihrer Datenschutzorganisation. Dasselbe gilt, sollten Sie Nachweise vorlegen müssen, z.B. Auftraggebern oder Interessenten.

Was können wir für Sie tun?

In jedem Stadium der Bearbeitung können Sie uns beratend hinzuziehen. Sofern gewünscht können wir auch die gesamte Projektorganisation übernehmen und Sie durch den Prozess des Aufbaus oder der Aktualisierung leiten. Ebenso können wir Teile der für die Umsetzung erforderlichen Arbeiten übernehmen.

Sichere Ablage

Für die Dokumentation verwenden wir ein hauseigenes Hosting, so dass sämtliche Dateien unter unserer Kontrolle stehen. Zusammen mit unserem technischen Sachverständigen Kersten Gevers steht uns auch der in Sicherheitsfragen versierte Administrator Sven Krawitowski zur Seite.

Kosten

Die Kosten bestimmten sich danach, welche Variante der Dokumentation Sie einsetzen wollen und ob Sie zusätzlich Beratungsstunden hinzubuchen möchten. Bitte sprechen Sie uns an, dann übersenden wir Ihnen eine Übersicht über alle Varianten.

Privacy Challenges for the New Decade

Bei der Sortierung alter Texte traf ich auf einen kurzen Vortrag zum Europäischen Datenschutztag, den ich online gehalten habe. Ich war der Bitte eines Kollegen in einem internationalen Konzern gefolgt, der online Fortbildungen organisiert. Obwohl der Europäische Datenschutztag ja schon eine eine ganze Weile zurückliegt (28. Januar), veröffentliche ich den Vortrag hier noch mal. Vielleicht ist es ja ganz gut ein paar Gedanken abseits von Covid-19 zu lesen. Das Thema des kurzen Vortrags war: “Privacy challenges in the new decade”.

(mehr …)

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften.

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben.

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse.

Besondere Kategorien

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw.

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift.

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt.

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive.

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert.

Was nun?

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten.

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen.

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht.

Welche Fristen sind einzuhalten?

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht!

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist.

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind.

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO).

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann.

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist.