Datenschutz Management

datenschutz schriftzug verschlüsselt riscreen

Fehler beim Datenschutz Management können für Unternehmen existenzbedrohend werden, sei es weil die Reputation leidet, oder die zuständige Aufsichtsbehörde hohe Geldstrafen (z. B. bis zu 20.000.000 Euro) verhängen kann.

Deshalb kümmern sich Unternehmen systematisch um dieses Thema mit einem Datenschutz Management. In diesem Beitrag erklären wir einfach und verständlich die Relevanz des Themas für Ihr Unternehmen und zeigen einfache Lösungsansätze.

Was ist Datenschutz?

Wir alle haben das »Grundrecht auf informationelle Selbstbestimmung«. Das bedeutet, dass jeder Mensch entscheiden kann, wer auf welche personenbezogene Daten wo, wann und wie lange zugreifen darf.

Der Datenschutz regelt einfach ausgedrückt, wie personenbezogene Daten verarbeitet werden dürfen – auch von Unternehmen.

Datenschutzregelungen gibt es nahezu weltweit, allerdings mit unterschiedlichen Ausprägungen, da diese in den nationalen Gesetzen festgelegt werden können.

Die DSGVO (das ist die Abkürzung für »Datenschutz-Grundverordnung«) gilt für alle EU-Mitgliedsstaaten und dient zur Vereinheitlichung des europäischen Datenschutzes.

Die einzelnen Länder haben eine nationale Gesetzgebung, wie z.B. das BDSG (Bundesdatenschutzgesetz) in Deutschland. Die DSGVO steht in der Rechtspyramide über dem BDSG (d.h. Europarecht vor nationalem Recht). Die DSGVO ermöglicht durch sogenannte »Öffnungsklauseln« dem nationalen Gesetzgeber einen sogenannten Spielraum, um Sachverhalte spezifisch durch zusätzliche Gesetze zu regeln.

Was sind personenbezogene Daten? 

Um den Datenschutz zu verstehen, ist es wichtig zu wissen, was diese personenbezogenen Daten sind. Die Definition der EU-Verordnung 2018/1725 lautet:

»Personenbezogene Daten« [sind] alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen…

EU-Verordnung 2018/1725

Für wen das zu abstrakt ist, hier einige Beispiele aus dem Alltag, bei denen personenbezogene Daten ein Thema sind:

  • Sie besuchen eine Webseite
  • Sie speichern die Adresse eines Mitarbeiters für die Buchhaltung
  • Jemand fotografiert Sie
  • Sie bezahlen mit Ihrer Kreditkarte
  • Ein Arzt notiert eine Diagnose über Sie

Besondere personenbezogene Daten

Wenn Sie die oben genannten Beispielen gelesen haben, erkennen Sie vielleicht Abstufungen der personenbezogenen Daten. Es gibt einige Daten, die besonders schützenswert sind. Dazu gehören zum Beispiel Informationen über:

  • die Gesundheit
  • die sexuelle Orientierung
  • die Herkunft
  • politische und religiöse Überzeugungen

Es ist anhand der Beispiele ersichtlich, warum z.B. eine Emailadresse anders schützenswert ist, als z.B. eine Krankenakte.

Warum ist Datenschutz für mein Unternehmen wichtig?

Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten für Unternehmen und Behörden (öffentliche Stellen). 

Im Extremfall kann ein Verstoß gegen die Datenschutzvorschriften bis zu drei Jahre Haft, oder eine Geldstrafe von bis zu 20 Mio. Euro bzw. 4% des gesamten, weltweit erzielten Jahresumsatzes nach sich ziehen (Artikel 83 Absatz 4 ff., DSGVO). Daraus ergibt sich eine hohe Relevanz für Unternehmen jeder Größe – und auch für die Verantwortlichen des Unternehmens. 

Doch nicht nur aus rechtlicher Sicht ist die Einhaltung der Datenschutzvorgaben wichtig. Ein Blick in die Nachrichten genügt, um zu sehen, wie stark ein Vertrauensverlust im Bereich des Datenschutzes den Umsatz bzw. Aktienkurs beeinflussen kann und wie häufig größere Datenschutzprobleme auftreten.

Datenschutz Management und Auftragsvergaben

Eine hohe Relevanz hat der Datenschutz bei der Vergabe von Aufträgen aus öffentlicher Hand. Dies gilt für Sie als Anbieter, aber auch Ihre Subunternehmer (Auftragsverarbeitung, vgl. Artikel 28 Absatz 1 ff., DSGVO). Ein professionell organisierter Datenschutz ist in der Realität auch ein Faktor für mehr Umsatz und somit eine Chance für Sie als Unternehmen, sich von Mitbewerbern abzugrenzen.

DSGVO = GDPR

Wenn Ihr Unternehmen veräußert werden soll, hat ein korrektes Datenschutzmanagement häufig einen positiven Einfluss auf den Verkaufspreis, da keine Rücklagen für Risiken erfolgen müssen. 

Wie erfülle ich als Unternehmen die Anforderungen an den Datenschutz?

Praktisch jedes Unternehmen arbeitet mit personenbezogenen Daten und ist verpflichtet, dies gesetzeskonform umzusetzen. Somit stellt sich die Frage nach den notwendigen Maßnahmen, die ein Unternehmen ergreifen muss.

Genau darum geht es bei den technischen und organisatorischen Maßnahmen. 

TOM – technische und organisatorische Maßnahmen

Um die Bedeutung der technischen und organisatorischen Maßnahmen zu verdeutlichen, erarbeiten wir gemeinsam die Vorteile anhand eines Beispiels, nämlich einem Cyberangriff. Dies ist kein Einzelfall in der deutschen Wirtschaft, wie diese bitkom-Studie zeigt:

statistik cyberangriffe in deutschen unternehmen
Quelle: bitkom

Technische Maßnahmen bestehen zum Beispiel aus: 

  • Lösch- und Archivierungskonzepten 
  • Berechtigungskonzepten 
  • Datenkategorisierungen und Schutzbedarfsbestimmung 

Organisatorische Maßnahmen können zum Beispiel folgende sein: 

  • Datenschutzkonforme Verträge, wie z.B. zur Auftragsverarbeitung und eingesetzter Subunternehmer 
  • Regelungen zur grenzüberschreitenden Datenübermittlung 
  • Regelungen zu den Dokumentationspflichten 

Erfolgreiches Datenschutz Management –ein Beispiel

Die fiktive Firma Schlau & Clever GmbH lässt sich von Riscreen beraten. Riscreen übernimmt in dem Unternehmen die Aufgabe des Datenschutzbeauftragen. Gemeinsam werden die TOMs erarbeitet und erfolgreich umgesetzt. 

Jahrelang konnte Schlau & Clever dank dieser Vorkehrungen problemlos arbeiten. Die Vorsorgemaßnahmen haben dafür gesorgt, dass zum Beispiel ausscheidende Mitarbeiter nicht mehr auf Daten zugreifen konnten. 

In unserem Beispiel hat ein Fehler bei einer Bürosoftware nun dafür gesorgt, dass Hacker in das System eindringen und Ransomware installieren konnten. Die wichtigsten Firmendaten wurden verschlüsselt und sollen nur gegen eine Zahlung von 2,5 Millionen Euro wieder freigegeben werden.

Hacker Ransomware

Der IT-Verantwortliche handelt entsprechend des entwickelten Protokolls und informiert unverzüglich und geordnet alle relevanten Stellen – auch die externe Datenschutzbeauftragte von Riscreen. 

Nach wenigen Minuten sind die wichtigsten Vorkehrungen getroffen. Die Dokumentation des Vorfalls läuft, z. B. werden forensische Daten und Hinweise aufgenommen.

Dank des betrieblichen Kontinuitätsmanagements (business continuity management, oder kurz BCM) gibt es Sicherungen der Firmendaten, die abgekapselt sind; sie sind also nicht aus dem Internet abrufbar. Die Ransomware befindet sich daher nicht auf diesen Sicherungen und die von den Hackern verschlüsselten Daten können damit ersetzt werden.

Kurze Zeit später ist dies erledigt und der Fehler in der Bürosoftware gefunden.

Nach eingehender Prüfung durch die Datenschutzbeauftragte, schickt diese nur eine vorsorgliche Meldung an die zuständige Aufsichtsbehörde.

Statt eines Schadens von 2,5 Millionen Euro und eines weiteren (finanziellen) Schadens durch Reputationsverlust, entstand Schlau & Clever nur ein kleiner Schaden durch den Zeitverlust und das Zurücksetzen aller betroffenen Systeme um eine saubere Systemlandschaft wieder herzustellen, sowie einer forensischen Analyse zur Ermittlung des Angriffsursprungs.

Schlau & Clever hat in unserem Beispiel Glück gehabt. Der Regelfall ist jedoch, dass neben dem wirtschaftlichen Schaden durch die Erpressung und dem Datenverlust, häufig die Kosten der Wiederherstellung und des System-Neuaufbaus deutlich höher sind.

Wie ist Ihr Datenschutz Management aufgestellt?

Wie wäre dieser Fall bei Ihrem Unternehmen ausgegangen? Sind Sie vorbereitet? Bestehen TOMs, Ablaufprozesse und Dokumentationen?

Für Unternehmer ist es häufig schwierig, die Risiken im Unternehmen hinsichtlich des Datenschutzes abzuschätzen. Deshalb lassen Sie sich durch externe Berater, wie Riscreen, unterstützen.

Auf Wunsch stellen wir einen Datenschutz-Beauftragten, der einen Audit durchführt, die Prozesse in Ihrem Unternehmen hinsichtlich des Datenschutzes prüft und einen Vorschlag für die Optimierung vorlegt.

Sollte es dann wie im Beispiel einen Vorfall geben, der datenschutzrechtlich relevant sein könnte, sind wir für Sie erreichbar.

Sprechen Sie uns jetzt an für eine kostenlose Erstberatung. 

Aktuelle Datenschutz Themen