Das französische Arbeits-, Beschäftigungs- und Gesundheitsministerium hat rund 3.600 Unternehmen befragt, ob und inwieweit sich die Bestellung eines Datenschutzbeauftragten auf ihre wirtschaftliche Lage auswirkt.

Mithilfe eines Fragebogens wurde ermittelt, welche wirtschaftlichen Vorteile die Anwesenheit eines Datenschutzbeauftragten für Unternehmen hat. Zusätzlich zur Studie wurden Interviews mit Datenschutzbeauftragen durchgeführt, die von der französischen Vereinigung der Datenschutzkorrespondenten vorgeschlagen wurden. Dies sollte die Einschätzungen der Unternehmen in den Fragebögen bestätigen.

Laut der Studienergebnisse haben Unternehmen mit betrieblichen Datenschutzbeauftragten eine deutlich höhere Auftragsquote bei öffentlichen Ausschreibungen, Vorteile bei der Sanktionsvermeidung und der Vermeidung von Datenlecks sowie eine höhere Effizienz der unternehmensinternen Datenverwaltung.

Cyberabgriffe verursachen erhebliche Kosten, denen nachweislich durch die Anwesenheit eines Datenschutzbeauftragten vorgebeugt wird. Bei der Vermeidung von Sanktionen fürchten die Unternehmen aber weniger die Bußgelder, sondern vielmehr die Auswirkungen auf das Ansehen des Unternehmens.

Darüber hinaus wurde ermittelt, dass eine datenschutzgerechte Datenminimierung die Betriebskosten senken und die IT-Sicherheit stärken kann.

Datenschutzbeauftragte berichteten, dass es tendenziell eher in größeren Organisationen möglich ist, Sanktionen und Datenschutzverletzungen zu vermeiden, sowie in denen mit einer positiven Compliance-Haltung. Die in größeren Organisationen beschäftigte DSB erhalten oft mehr Ressourcen für die Aufgaben rund um den Datenschutz.

Auf absehbare Zeit kommt offenbar niemand mehr an ihr vorbei: Künstliche Intelligenz (KI) und die mit ihr verbundenen Chancen sind das Thema dieser Zeit. Schon seit längerem beobachten wir eine immer schnellere Entwicklung in IT-Technologien. Insbesondere im Bereich der aktuellen noch relativ einfachen Sprach-KI-Modelle sehen wir gerade eine rasante Entwicklung, die dazu führt, dass die Analyse der damit einhergehenden Risiken nicht mithalten kann. Daher ist es Zeit, einmal einen kurzen Blick auf das Risikopotential zu werfen und dieses vor dem Einsatz abzuwägen.

Die gegenwärtig angebotenen relativ einfachen Sprach-KI-Modelle werden je nach Einsatzzweck mit Informationen aus dem Internet und ggf. weiteren Quellen aufgebaut. Aus diesen Informationen entstehen die „Produkte“ dieser KI-Modelle. Das bedeutet, dass diese Systeme nicht wirklich selbst schöpferisch tätig sind, sondern vorhandenes Wissen und vorhandene Werke verwenden. Und hier wird es knifflig: Die verwendeten Informationen und Werke können Rechten unterworfen sein, über die uns die KI-Modelle nichts mitteilen.

Welche Rechte kann der Einsatz von KI verletzen?  

In erster Linie handelt es sich hierbei um Urheber- und Persönlichkeitsrechte. Je nach verwendeter Datenbasis können auch Geschäftsgeheimnisse oder einer gesetzlichen Verschwiegenheitspflicht unterliegende Informationen betroffen sein. Nun stellt sich die Frage, wer hier den Verstoß begeht, wenn derartig rechtlich geschützte Informationen dem Ergebnis der KI zugrunde liegen. Bisher wird davon ausgegangen, dass Verstöße dem Verwender zugerechnet werden müssen. Die KI – bzw. deren Entwickler – trägt also keine Verantwortung dafür. Wenn also durch die KI beispielsweise Fotos, Grafiken, Musikstücke oder Texte erstellt werden, müsste der Verwender prüfen, ob derartige Rechte daran bestehen. Dies ist momentan kaum möglich, da die KI ja keine Angaben zu den verwendeten Informationen beifügt. Aus diesem Grund haben sich im Moment zahlreiche Unternehmen und Organisationen gegen eine Verwendung dieser Systeme entschieden.

Es kommt auf den Anwendungsfall an

In „geschlossenen Systemen“ – also für einen konkreten internen Zweck und ohne Zugriff auf andere als die selbst bereitgestellten Daten aus dem Unternehmen – werden einfache KI-Systeme bereits seit einigen Jahren für die Lösung zahlreicher Aufgaben erprobt. Meist geht es dabei um Mustererkennung und eine sichere und schnelle Bearbeitung von Formularen, Bildern oder Texten, etc. Aber auch in diesem Fall ist zu beachten, dass bei Verwendung personenbezogener Daten (z.B. Fotos) die Persönlichkeitsrechte beachtet werden müssen. Das bedeutet, dass die datenschutzrechtlichen Anforderungen wie bei jedem anderen System zu erfüllen sind.

Die größte Herausforderung dürfte hier darin bestehen, dass die Anwender zunächst selbst das notwendige Verständnis für die Verarbeitungsschritte der KI erwerben müssen – obwohl die Hersteller diese Informationen nicht bereitstellen. Erst dann wären die Anwender in der Lage, die Transparenzpflichten der DSGVO gegenüber betroffenen Personen und Aufsichtsbehörden überhaupt erfüllen zu können.

Auch Sicherheitslücken und Angriffe auf Unternehmen mittels KI denkbar!

Auch Sicherheitslücken sind durch diese KI-Systeme denkbar. So kann der Schutz der Unternehmensdaten ggf. nicht gewährleistet werden, wenn eine solche KI einen Zugriff auf das Unternehmensnetz hat. Und ob eine KI nur bereitgestellt wird, um solche Zugriffe möglich zu machen oder Firmengeheimnisse auszuspähen, kann im Zweifel auch nur ein Cyber-Security Experte feststellen. Die Sicherheitslücke oder die Haftung bspw. für einen Urheberrechtsverstoß treffen das Unternehmen.

Das sind die Gründe, weshalb zahlreiche Unternehmen hier zunächst ein Verbot des Einsatzes dieser KI-Anwendungen ausgesprochen haben, bis hier die notwendigen sicheren Standards entwickelt worden sind. Es empfehlen sich daher klare Regelungen zum Einsatz von KI-Systemen, wie diese auch für jedes andere System gelten, zu treffen. Der gegenwärtige Hype sollte nicht zu Sicherheitslücken oder Haftungsrisiken führen.

Wie wird die Website genutzt? Werden bestimmte Inhalte vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf der Website? Wird ein voller Warenkorb im Webshop zurückgelassen? Zur Beobachtung des Nutzerverhaltens auf einer Website können verschiedene Tools eingesetzt werden, die hilfreich sind, um diese und andere Fragen zu beantworten. Häufig werden dafür Standardtools von großen Anbietern aus Drittstaaten verwendet, welche die Daten möglicherweise auch dort verarbeiten und für andere Zwecke nutzen. Die Risiken, die mit einer solch ungewollten Datenverarbeitung einhergehen, sind immens. Werden frühzeitig datenschutzfreundliche Einstellungen für die Tools zu Grunde gelegt sowie notwendige Verarbeitungen festgelegt, kann zumeist eine geeignetere Alternative gefunden werden.     
Aber nicht nur die mögliche Preisgabe der Geschäftsprozesse oder gar -geheimnisse ist geschäftsschädigend, auch kann fehlende Datenschutzkonformität das Nutzervertrauen negativ beeinflussen und von Aufsichtsbehörden sanktioniert werden.           
Produktbeschreibungen wie bspw. „Cookie-less Tracking“ können dazu verleiten die Datenschutzkonformität vorschnell als gegeben anzusehen. Dies ist aber leider nicht immer der Fall. Einige Tools nutzen/akzeptieren zwar keine Third-Party-Cookies; First-Party-Cookies und andere Methoden der Datensammlung werden jedoch schon verwendet. Falls fälschlicherweise davon ausgegangen wird, dass keine Cookies gesetzt werden, führt dies zum Verstoß gegen die DSGVO.

Bei Datenverarbeitungen auf Websites ist grundsätzlich die DSGVO zu berücksichtigen. Neben der Erstellung der datenschutzrechtlich vorgegebenen Dokumentationen, sind die Informationspflichten für Nutzer/Kunden zu erfüllen und die Datenschutzerklärung richtig aufzusetzen. Bei der Überprüfung der Webseiten ist insbesondere auf das Setzen von Cookies mit oder ohne Einwilligung zu achten und deren Speicherdauer zu prüfen. Es sind sowohl ihre Zwecke als auch deren Notwendigkeit zu kontrollieren. Auch die Serversicherheit, durch Verschlüsselung und Softwareaktualität und selbstverständlich sollte die Zulässigkeit der Datenübermittlung in Drittstaaten überprüft werden.

05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

• die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
• die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
• die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
• die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
• die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

• Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
  Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  
• Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

• der Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
• wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
• die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

1. Bewertung oder Scoring;
2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
3. systematische Überwachung;
4. sensible Daten oder höchstpersönliche Daten;
5. Datenverarbeitung in großem Umfang;
6. Abgleich oder Zusammenführen von Datensätzen;
7. Daten über schutzbedürftige Personen;
8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

• die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
• die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
• mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

• die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
• die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
• die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

• eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
• die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
• die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

• die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
• den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
• die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
• die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
• die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

• Beschreibung der vorgesehenen Verarbeitung
• Beurteilung von Notwendigkeit und Verhältnismäßigkeit
• Bereits vorgesehene Maßnahmen
• Einschätzung des Risikos für Einzelpersonen
• Maßnahmen zur Bewältigung des identifizierten Restrisikos
• Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

• dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
• dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
• wie personenbezogene Daten pseudonymisiert werden können;
• dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
• dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
• dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
• dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
• dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
• dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

• Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
• selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
• ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
• den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
• die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?

Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.

Ein Piktogramm reicht nicht aus

Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.

Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.

Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien. 

Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.

Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.

Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.

Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.

Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.

Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.

So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.

Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.

„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks“, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.

ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Technik der Videoüberwachung ist heute eine weit verbreitete Möglichkeit, um in den betroffenen Bereichen sowohl Eigentum, als auch Mitarbeiter und Kunden zu schützen.

Doch die Installation dieser Anlagen erfordert eine durchgehende und detaillierte Prüfung, um die Rechte der betroffenen Personen zu schützen. Durch die Erstellung eines Datenschutzkonzeptes im Rahmen der gesetzlichen Vorgaben kann die Videoüberwachung zu einem beliebten und gesetzeskonformen Überwachungstool werden, welches Unternehmen vor Diebstahl und Sachbeschädigung schützen kann. Doch die Einhaltung der Datenschutz-Bestimmungen muss sorgfältig betrachtet und überprüft werden. Denn gerade weil das Thema Videoüberwachung in den Medien so präsent ist, gerät diese Technik immer wieder in den Fokus der zuständigen Aufsichtsbehörden. Der Betrieb erfordert eine Risikoabwägung und gegebenenfalls auch eine Datenschutz-Folgenabschätzung und in Einzelfällen sogar die Hinzuziehung der zuständigen Aufsichtsbehörde. Welche Anlagen evtl. gegen die Vorschriften verstoßen und welche Vorschriften für die individuellen Fälle gelten, sollte genau von Experten untersucht werden, um das System den einschlägigen Regelungen anzupassen.

Nutzen Sie unsere Erfahrung aus zahlreichen Projekten in den unterschiedlichsten Branchen.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5423 95 993 20

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)?

Ein interner DSB kennt die Unternehmensprozesse und die entsprechenden Ansprechpartner. Damit hat er einen entscheidenden Vorteil. Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln. Schon in diesem Auswahlprozess können wir Sie aufgrund unserer langjährigen Erfahrung unterstützen. Neben diversen Anforderungen an die Zuverlässigkeit und Fachkunde darf der DSB auch keinem Interessenskonflikt unterliegen. Gerade hier kommt es immer wieder zu Abberufungen durch die Aufsichtsbehörden.

Welche Qualifikation benötigt ein interner DSB?

Ausbildungen zum Datenschutz gibt es heute wie Sand am Meer. Gute Ausbildungen allerdings nur wenige. Wir können Ihnen bei der Auswahl der richtigen Ausbildung helfen oder Ihren Datenschutzbeauftragten direkt bezogen auf die Anforderungen in Ihrem Unternehmen ausbilden und coachen. Das Coaching und damit die stufenweise Ausbildung von internen Datenschutzbeauftragten hat sich in vielen Fällen bewährt, da der interne Datenschutzbeauftragte eine genau auf ihn skalierte Unterstützung erfährt und dabei direkt anhand der Anforderungen für die Verarbeitungsprozesse Ihres Unternehmens ausgebildet wird. Der ds²-Berater ist dabei stets als Sparringspartner für den fachlichen Austausch und die Lösung komplexer Aufgaben verfügbar. Darüber hinaus kann er bei Abwesenheiten des internen DSB als Stellvertreter fungieren.

Welche Phasen durchläuft das Coaching?

Neben der initialen Ausbildung Ihres DSB stellt das individuelle Coaching eine hervorragende Möglichkeit dar, einen internen DSB schnell und sicher in die Lage zu versetzen, die komplexen Aufgaben wahrzunehmen.

Dieses Verfahren läuft üblicherweise in 4 Schritten ab:

1. Aufgaben ermitteln (auch phasenweise) und den jeweiligen Zeitrahmen festlegen
2. Analyse der Rahmenbedingungen und Bearbeitung von Lösungsansätzen
3. Lösungen ausarbeiten und umsetzen
4. Erfolgskontrolle

Jede Phase wird durch den ds²-Berater (Coach) begleitet und unterstützt. Da diese Phasen auf immer komplexere Aufgaben angewandt werden, erwirbt der interne DSB die erforderliche Kompetenz an konkreten Beispielen und schafft gleichzeitig die gewünschte Rechtssicherheit für das Unternehmen.

Möchten Sie weitere detaillierte Informationen zu diesem Thema erhalten, rufen Sie uns gerne an unter +49 5423 95 993 20.