Projektbeispiele

Projektbeispiele

Lesen Sie hier einige Beispiele aus unserem Arbeitsalltag.  Gerne informieren unsere Berater auch über weitere Einsätze und stehen bei Fragen zu unserer Tätigkeit und unserem Angebot zur Verfügung.

Datenschutzgerechter Einsatz von Überwachungstechnologie

Der Einsatz der Videoüberwachung ist heute eine weit verbreitete Möglichkeit, um in den betroffenen Bereichen sowohl Eigentum als auch insbesondere Mitarbeiter und Kunden zu schützen. Doch die Installation dieser Anlagen erfordert eine durchgehende und detaillierte Prüfung, um die Rechte der betreffenden Personengruppen zu schützen. Durch die Erstellung eines datenschutzrechtlichen Konzeptes im Rahmen der gesetzlichen Vorgaben kann die Videoüberwachung zu einem geeigneten und gesetzteskonformen Überwachungstool werden.

Der Betrieb von Videoüberwachungsanlagen wird gerade bei Einzelhandelsunternehmen immer beliebter. Diebstahl und Sachbeschädigungen werden leichter erkannt und eine dementsprechende Reaktion wird ermöglicht. Ein international tätiges Einzelhandelsunternehmen und Betreiber einer solchen Anlage wurde von mehreren Aufsichtsbehörden aufgefordert, ein entsprechende Datenschutzkonzept zu diesen Überwachungsmaßnahmen vorzulegen. Die Vorlage der gewünschten Unterlagen konnte jedoch nicht erfolgen, da keine existierten. Um trotzdem den Forderungen gerecht zu werden, musste eine Vorabkontrolle nach den Vorgaben der Aufsichtsbehörden schnellstmöglich erfolgen – ds² wurde mit der Durchführung der Vorabkontrolle und der Entwicklung eines entsprechenden Datenschutzkonzeptes beauftragt.

Zu Beginn wurde nach einer eingehenden Bestandsaufnahme ein erstes Grobkonzept für die Umsetzung der datenschutzrechtlichen Anforderungen an die Videoüberwachung erstellt. ds² stellte dieses Konzept der hauptsächlich zuständigen Aufsichtsbehörde vor und stimmte dieses anschließend auf aktuelle Rechtssprechungen und anstehende Gesetzesänderungen ab.

Das daraus resultierende detaillierte Konzept umfasst die Verfahrensdokumentation, Richtlinien für den Einsatz der Videoüberwachung, Hinweise für die betroffenen Mitarbeiter sowie weitere Maßnahmen, die der Transparenz der Datenverarbeitung dienen. Im Zentrum der Dokumentation stehen die Interessensabwägung, das Transparenzgebot und die Maßnahmen, mit denen diese Anforderungen in dem Konzept umgesetzt werden, insbesondere die Risikoeinstufung der zu überwachenden Standorte, das Berechtigungskonzept und die Speicherdauer der Aufzeichnungen.

Die letztendliche technische Umsetzung wurde mittels eines durch das Unternehmen sorgfältig ausgewählten Dienstleisters erbracht, welcher die im Konzept festgehaltenen, datenschutzrechtlichen Maßnahmen in die Systemtechnik integrierte.

ds² stellte für die Mitarbeiter und Verantwortlichen Informations- und Schulungsunterlagen zusammen, um Risiken und Vorgehensweisen zu erläutern. Die Aufsichtsbehörden stimmten dem ausgearbeiteten Konzept zu und bezeichnen die durch ds² entwickelte Lösung als beispielhafte für diese und weitere Branchen.

Falls Sie mehr über unsere Beispiele und Lösungen erfahren möchten, sprechen Sie uns gerne an.

Mehr IT-Security durch informierte Mitarbeiter

Die Risiken für die Integrität und Vertraulichkeit von sensiblen geschäftlichen Daten sind vielfältig. Nicht nur auf technischer Ebene drohen Gefahren wie z.B. durch Trojaner oder unsichere und damit verwundbare Netzwerke. Der Anwender – so auch jeder Mitarbeiter – rückt immer mehr in den Mittelpunkt der Angriffe, denn dort schützen weder technische noch organisatorische Vorkehrungen durch die IT-Abteilung. Unkenntnis und Unsicherheit werden gezielt ausgenutzt, um Zugriff auf vertrauliche Daten zu erhalten. Ob mangelndes Sicherheitsbewusstsein oder Leichtfertigkeit: Es gibt leider viel zu viele Beispiele für den unbedarften Umgang mit vertraulichen Unternehmensdaten.

So auch die Sorge eines mittelständischen inhabergeführten Unternehmens um die Sicherheit der IT-Landschaft. Die technische Absicherung oblag der IT-Abteilung und befand sich bereits auf einem hohen Niveau. Die verbleibenden Risiken, welche sich aus Fehlverhalten oder Unkenntnis der Anwender ergaben, stellten für das Unternehmen jedoch eine existenzielle Bedrohung dar (Abfluss von Unternehmens-Know-how) und sollten zum Schutz des Unternehmens schnellstmöglich behoben werden.

Nach der Analyse der Bedrohungs- und Risikoszenarien wurde gemeinsam mit dem Unternehmen ein abgestuftes Informations- und Lernkonzept für die Anwender erstellt. Dieses Konzept beinhaltete sowohl klare Verfahrensanweisungen als auch gezielte Maßnahmen zur Security-Awareness. In kurzen Impulsvorträgen zur Grundsensibilisierung, Intranet-Kursen sowie Präsenztrainings wurden den Mitarbeitern ausgewählte Themen des Datenschutzes und der IT-Sicherheit vermittelt. Ziel war es, die Schaffung eines gehobenen Sicherheitsbewusstseins bei den Mitarbeitern zu gewährleisten. Um einen Strohfeuereffekt zu vermeiden, wurden die Inhalte auf verschiedenen und zeitlich gestaffelten Informationswegen transportiert. Die abschließende und obligatorische Lernerfolgskontrolle diente dem Anwender als Selbstkontrolle und gab dem Unternehmen ein wertvolles Feedback zur Erfolgssicherung der Maßnahmen.

Falls Sie mehr über unsere Beispiele und Lösungen erfahren möchten, sprechen Sie uns gerne an.

Callcenter: Ohne Datenschutz geht nichts mehr!

In der letzten Zeit sind regelmäßig Datenschutzskandale in Zusammenhang mit dem Einsatz von Callcentern durch die Presse gegangen. In der Folge wurden in der Politik die Forderungen nach verschärfter Kontrolle immer lauter. Die Aufsichtsbehörden in Deutschland haben reagiert und nehmen sich verstärkt dieser Problematik an, um entsprechende Probleme und Gefahren im Bereich des Datenschutzes zu verhindern.

Ein bundesweit tätiges Callcenter wurde diesbezüglich durch die zuständige Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich angeschrieben. Die Aufsichtsbehörde hat auf einen Schlag alle der Behörde bekannten Callcenter in einem dreiseitigen Schreiben aufgefordert, einen 13-Punkte Fragenkatalog innerhalb von vier Wochen zu beantworten, um Missbrauch in Callcentern frühzeitig erkennen und verhindern zu können.

Die Erfahrungen des Callcenters bezüglich eines zielführenden Vorgehens sind bis zu diesen Zeitpunkt gering, da es im Unternehmen keinen Datenschutzbeauftragten gab.

Die Anfrage der Aufsichtsbehörde bezog sich insbesondere auf folgende Punkte:

  • Ist ein Datenschutzbeauftragter bestellt
  • Fachkundenachweis des Datenschutzbeauftragten
  • Ist das Callcenter ordnungsgemäß beauftragt worden?
  • Sind die Mitarbeiter im Callcenter geschult und auf § 5 BDSG verpflichtet?
  • Liegen die erforderlichen Verfahrensdokumentationen vor?
  • Werden Inbound- oder auch Outbound-Gespräche geführt und falls letzteres der Fall ist, woher kommen die Daten der Angerufenen und liegen ggf. die erforderlichen Einwilligungen vor?
  • Werden Aufzeichnungen von Telefonaten in einem zulässigen Verfahren durchgeführt?
  • Werden die Daten der verschiedenen Kunden des Callcenters entsprechend dem Trennungsgebot verarbeitet?
  • Gibt es ein Konzept in dem geeignete technische und organisatorische Maßnahmen dokumentiert sind?
  • etc.

Aufgrund unserer umfangreichen Erfahrungen in diesem Bereich wurde ein externer Datenschutzbeauftragter von ds² bestellt. Dieser hat – in Zusammenarbeit mit einem weiteren ds²-Berater – in kürzester Zeit die durch die Aufsichtsbehörde gestellten Anforderungen fristgerecht erfüllt und die Datenschutzkonformität im Unternehmen hergestellt, so dass ein Eingreifen seitens der Aufsichtsbehörde abgewendet werden konnte.

Das in diesem Zusammenhang erstellte Datenschutzkonzept wird seitdem durch das Callcenter bereits in der Akquisephase verwendet. Dadurch konnte die Neukundengewinnung und die Bearbeitung von Anfragen erheblich verbessert werden, da mittlerweile ein Großteil der Ausschreibungen ohne die entsprechenden Unterlagen nicht mehr gewonnen werden kann.

Falls Sie mehr über unsere Beispiele und Lösungen erfahren möchten, sprechen Sie uns gerne an.

Verantwortung für den Datenschutz bleibt beim Auftraggeber

Immer mehr Unternehmen nutzen die Möglichkeit des „Outsourcings“, um punktuell Dienstleistungen einzukaufen. Dies führt zum einen zu Kostensenkungen, zum anderen besitzt der Dienstleister die nötigen Fachkenntnisse, die dem Auftraggeber in den meisten Fällen fehlen. Wenn nun bei dieser Dienstleistung personenbezogene Daten betroffen sind, handelt es sich um eine sog. Auftragsdatenverarbeitung. Diese ist geregelt in § 11 BDSG und gibt sowohl dem Auftraggeber als auch dem Auftragnehmer zusätzliche Pflichten auf.

Ein mittelständisches, international agierendes Unternehmen, hat in verschiedenen Bereichen externe Dienstleister eingeschaltet, so u.a. im Bereich:

  • (Fern-)Wartung von Software durch externe IT-Dienstleister
  • Lohn- und Gehaltsabrechnung durch eine Steuerberatungskanzlei
  • Lettershop – hier wurden Anschreiben von Kunden im Wege eines Standard-Anschreibens vorgenommen, woraufhin der Lettershop die Kundenadressen erhalten hat
  • Einschaltung eines Callcenters zur Abfrage der Kundenzufriedenheit

Die Aufgabe von ds² bestand zum einen darin, die Verträge mit den Dienstleistern an die Bestimmungen des § 11 BDSG anzupassen, zum anderen die gesetzlich vorgeschriebene Überprüfung der Dienstleister zu organisieren und durchzuführen. Dabei stand eine wirtschaftliche und ergebnisorientierte Vorgehensweise im Vordergrund.

Auf Basis eines von ds² entwickelten Prüfungskataloges, welcher allen Dienstleistern zur Verfügung gestellt wurde, konnten diese ihre technischen und organisatorischen Maßnahmen (sog. TOMs) dokumentieren.

In diesem Prüfungskatalog wird beispielweise abgefragt, ob das Unternehmen über einen Datenschutzbeauftragten verfügt und ob die betroffenen Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Aber auch gesetzlich vorgeschriebene Maßnahmen zu Zugriffs-, Zutritts- oder Zugangskontrolle müssen erläutert werden.

Anhand der Ergebnisse wurde entschieden, ob die beschriebenen Maßnahmen ausreichend waren, um Datenschutz und Datensicherheit zu gewährleisten, oder ob weitere Überprüfungen erforderlich waren.

Mit Abschluss der Maßnahmen war sichergestellt, dass das Unternehmen alle datenschutzrechtlichen Vorgaben im Rahmen der Auftragsdatenverarbeitung mit der gebotenen Sorgfalt erfüllt hat. Der gesamte Ablauf wurde als Prozess im Managementhandbuch verankert und das Vertragsmanagement nach § 11 BDSG dem Einkauf zur laufenden Betreuung übergeben. So ist in Zukunft sichergestellt, dass bei jedem Neuvertrag im Bereich der Auftragsdatenverarbeitung nach diesen Vorgaben verfahren wird und damit der Auftraggeber als verantworliche Stelle gewährleistet, dass die Auftragsdatenverarbeitung vorschriftsgemäß erfolgt.

Falls Sie mehr über unsere Beispiele und Lösungen erfahren möchten, sprechen Sie uns gerne an.

Mehr über unsere Tätigkeit im Bereich Datenschutz und Datensicherheit erfahren Sie auf der Seite ds² Profil.