Erhalten Sie Zugang zu diesem und mehr als 300000 Büchern ab EUR 5,99 monatlich.
- Herausgeber: Books on Demand
- Kategorie: Fachliteratur
- Sprache: Deutsch
IT-Sicherheit und Datenschutz sind nicht nur in den Medien ein Dauerbrenner geworden. Es vergeht kaum ein Tag, an dem nicht irgendwo von einem neuen Risiko oder neuen Vorfall berichtet wird. Auf diese Änderungen hat der Gesetzgeber reagiert und auch auf EU-Ebene wurde die EU-Datenschutzgrundverordnung verabschiedet. Umfragen haben ergeben, dass ca. 97 % aller Unternehmen in Deutschland auf die aktuellen Änderungen nicht vorbereitet sind. Kleinere Unternehmen oder neu gegründete Unternehmen werden mit diesen Themen oft alleine gelassen und riskieren unkalkulierbare Risiken, welche es von Anfang an zu vermeiden gilt. Die wichtigsten Themen sind hier einfach verständlich aufgearbeitet, bei Betrachtung der aktuellen rechtlichen Anforderungen und den künftigen rechtlichen Anforderungen bis 2018. Erfahren Sie mehr über die Grundlagen des Datenschutzes, was die TOM‘s im eigenen Unternehmen sind, woraus sie achten müssen, wenn es um den Schutz der Daten geht und was sie bei Auftragnehmern beachten müssen. Seien Sie nicht nur im Unternehmen konform, sondern auch im Web. Lernen Sie nicht nur worauf Sie achten müssen, sondern auch warum es sinnvoll ist.
Sie lesen das E-Book in den Legimi-Apps auf:
Seitenzahl: 60
Veröffentlichungsjahr: 2017
Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:
Ähnliche
Inhaltsverzeichnis
Vorwort
Datenschutzgrundlagen
Technische und organisatorische Maßnahmen
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennungsgebot
Anpassung an weitere Bestimmungen
Prüfung der Eignung von Beauftragten bei Dritten
Dokumentation
Nachweise Dritter
Verpflichtung und Unterrichtung
Verfahrensübersichten
Überprüfung
Vorabkontrolle / Risiko Folgeabschätzung
Auftragsdatenverarbeitung
Rechte der Betroffenen
Informationspflicht bei der Erhebung
Auskunft
Berichtigung, Löschung und Sperrung
Datenübertragbarkeit
Schadensersatz
Informationspflichten
Internetauftritt und Werbung
Die Aufsichtsbehörde kommt, was tun?
Abkürzungen
Begriffserklärungen
Quellen
Die Autoren
Birgit Pauls
Bernd Sommerfeldt
Vorwort
Datenschutz und IT-Sicherheit sind für jede Unternehmensgröße wichtig und auch rechtlich verbindlich umzusetzen. Im Zuge der schnelllebigen Entwicklung im Informationszeitalter eröffnen sich laufend neue Möglichkeiten, welche von allen Unternehmensgrößen genutzt werden.
Neue Möglichkeiten schaffen auch immer neue Herausforderungen; mit diesen wird das Unternehmen oft allein gelassen und die wichtigsten Schritte werden häufig nicht oder nicht hinreichend vollzogen, wodurch sich unkalkulierbare Risiken für den Unternehmer ergeben.
Dieses Buch wendet sich an alle Unternehmen sowie alle Interessierten und betrieblichen Datenschutzbeauftragten.
Eine vollständige Abhandlung aller Eventualitäten und Sonderfälle ist mit diesem Buch nicht beabsichtigt. Hier wird auf die wichtigsten Punkte eingegangen, die jeder Unternehmer in seinem Betrieb realisieren sollte, unabhängig von der Größe seiner Unternehmung.
Hinweis: Natürlich wendet sich dieses Buch sowohl an Männer als auch an Frauen gleichermaßen, wie auch an das dritte Geschlecht. Auf Formulierungen wie Unternehmer und Unternehmerinnen wurde aus Gründen der Vereinfachung und des besseren Lesens des Buches bewusst verzichtet.
Birgit Pauls und Bernd Sommerfeldt
Tönning / Lübeck im April 2017
Datenschutzgrundlagen
Die wichtigste Grundlage beim Datenschutz ist der gesunde Menschenverstand. Die rechtliche Basis des Datenschutzes in Deutschland wird durch das Grundgesetz gebildet. Auf diesem baut eine Vielzahl weiterer Bestimmungen und Richtlinien auf, z.B. das Bundesdatenschutzgesetz, welches aktuell die wichtigste Norm für Unternehmen und andere private Stellen wie z.B. Vereine darstellt. In anderen Ländern gibt es vergleichbare Anforderungen aus bestehenden Verfassungen sowie Vereinbarungen, welche staatenübergreifend gelten, wie die EU-Datenschutz-Grundverordnung (DS-GVO), die ab 25. Mai 2018 anzuwenden ist.
Unterschiedliche Normen sind für unterschiedliche geografische Zonen herausgegeben worden; die wichtigsten hiervon sind DIN (Deutschland), EN (Europa) sowie ISO (International). Es gibt zahlreiche weitere Normen und Richtlinien, insbesondere in anderen geografischen Zonen. Problematisch wird dies erst, wenn bestimmte Normen, Gesetze und Vorgaben die eigenen Normen nicht berücksichtigen oder sogar zu dessen Bruch verpflichten. Als Beispiel sei hier der Patriot Act zu benennen, bezüglich dessen sich bereits verschiedene Gerichte in den USA und der EU mit Streitfällen beschäftigt haben.
Tatsächlich sind diese unterschiedlichen Handhabungen des Datenschutzes für Unternehmen einer jeden Größe notwendig. Die Globalisierung von Lösungen in der Datenverarbeitung erfordert eine genaue Betrachtung, welche dieser Lösungen für welchen Bereich einsetzbar ist oder auch ausscheidet.
Als Unternehmer sind Sie dafür verantwortlich, sicherzustellen, dass der Datenschutz lückenlos eingehalten wird und können bei Verletzung des Datenschutzes nicht auf mögliche Bestimmungen in Drittstaaten verweisen.
Was muss ein Unternehmen grundsätzlich tun, um die Mindestanforderungen an den Datenschutz einzuhalten? Die Themen sind recht übersichtlich:
Überprüfung der Zulässigkeit der Datenverarbeitung und -nutzung
Mitarbeiterverpflichtung und -unterrichtung
Technische und organisatorische Maßnahmen zum Datenschutz
Gesetzeskonforme Auftragsdatenverarbeitung
Wahrung der Rechte Betroffener
Verfahrensübersichten erstellen
Informationspflichten bei Datenschutzpannen
Ggf. Bestellung eines Datenschutzbeauftragten
Beim Datenschutz geht es immer um den Schutz personenbezogener Daten, d.h. um Angaben über sachliche oder persönliche Verhältnisse einer bestimmten oder bestimmbaren Person. Betriebs- und Geschäftsgeheimnisse ohne Personenbezug fallen nicht unter die Datenschutzgesetzgebung.
Bei der Zulässigkeit der Verarbeitung personenbezogener Daten gilt ein Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn
der Betroffene hat eine Erlaubnis erteilt oder
die Datenverarbeitung wird durch ein Gesetz oder eine Verordnung erlaubt oder gefordert.
Unter den Punkt 2 fällt beispielsweise auch die Verarbeitung von zur Vertragserfüllung erforderlichen Daten.
Im Datenschutz gilt eine strenge Zweckbindung: Daten dürfen nur für die Zwecke verarbeitet werden, zu denen sie erhoben wurden. Eine Verarbeitung zu anderen Zwecken ist nur dann erlaubt, wenn der Betroffene in die Zweckänderung eingewilligt hat oder es eine gesetzliche Grundlage gibt, die eine Verarbeitung zu anderen Zwecken eindeutig gestattet.
Daten, die nicht vorliegen, können nicht verlorengehen oder missbraucht werden. In den Regelungen zum Datenschutz wird daher mit dem Prinzip der Datenvermeidung und Datensparsamkeit eine Datenminimierung gefordert. Es dürfen nur die Daten erhoben werden, die zur Erfüllung des Zweckes notwendig sind. Daten sollen nicht gespeichert werden, wenn der Zweck entfallen ist, es sei denn, es gibt dem entgegenstehende gesetzliche, vertragliche oder satzungsgemäße Aufbewahrungsfristen.
Ferner gilt das Prinzip der Direkterhebung, d.h. Daten sollen beim Betroffenen direkt erhoben werden. Ausnahmen sind möglich, sofern es gesetzlich gestattet ist.
Besondere Vorsicht ist bei der Übermittlung personenbezogener Daten an Dritte geboten. Die Verantwortung für die Zulässigkeit der Übermittlung trägt immer der Übermittelnde. Datenspeicherung in einer Cloud kann eine solche Form der Übermittlung darstellen. Häufig handelt es sich sogar um eine unzulässige Übermittelung in ein Drittland. Dazu gehört auch die Nutzung von E-Mail Providern im Ausland, z.B. Hotmail, Gmail etc. Tipp: Prüfen Sie vor der Cloud-Nutzung ganz genau, wer möglicherweise Zugriff auf Ihre Daten hat oder dies sogar in seinen AGB einfordert. Viele Daten dürfen auch nicht einfach in eine bestimmte bzw. überhaupt in eine Cloud, da diese dann dem Sicherheits- oder Trennungsanspruch nicht mehr gerecht wird. Bedenken Sie, dass Werbeversprechen keine rechtlich verbindliche Aussage darstellen und Sie sich auf diese später nicht berufen können.
Die aktuelle Gesetzgebung hat grundsätzliche technische und organisatorische Maßnahmen festgelegt, welche ggf. durch weitere Bestimmungen für Ihre Unternehmung anzupassen sind; dabei dürfen diese Mindestanforderungen jedoch nicht unterschritten werden. Darüber hinaus sind diese Bestimmungen laufend an den aktuellen technischen Stand anzupassen. Die Vorgaben der Gesetzgebung stellen Mindeststandards dar; bei der Nichteinhaltung dieser Standards handelt es sich nicht um ein Kavaliersdelikt.
Technische und organisatorische Maßnahmen
Der Gesetzgeber hat (in § 9 BDSG mit Anhang, Art. 32 DS-GVO) festgelegt, dass personenbezogene Daten und die damit in Zusammenhang stehenden Persönlichkeitsrechte hinreichend zu schützen sind. Hieraus ergeben sich auch die sogenannten technischen und organisatorischen Maßnahmen, kurz TOMs. Neben den allgemeinen Datenschutzbestimmungen können in weiteren Gesetzen zusätzliche Anforderungen hineinfließen, so dass diese nicht alleine betrachtet werden sollten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein umfangreiches Werk an Richtlinien, Empfehlungen und Katalogen erstellt, welche der Sicherheit in der Informationstechnologie dienen. Hierbei wird allerdings insgesamt auf die IT und alle zugehörigen Daten Bezug genommen. Es kommt zwangsläufig zu Überschneidungen.
Obgleich Datenschutz und IT-Sicherheit uns schon seit vielen Jahrzehnten begleiten, werden sie allzu leicht als Bürde gesehen, obgleich der Nutzen unverkennbar ist, wie auch die Notwendigkeit einer klaren Sicherheit und definierten Regelungen zum Umgang mit den Daten. Bewusst wird dies jedem Einzelnen und auch dem Unternehmer selbst, wenn seine eigenen Daten und seine eigene Sicherheit hiervon betroffen sind oder wieder eine große (inter-)nationale Datenpanne publik wird. Sehen Sie die Richtlinien und Vorgaben als das, was Sie sind: Als Hilfe für einen optimalen Schutz von Daten, Geschäftsgeheimnissen und der Persönlichkeitsrechte eines jeden Einzelnen.
