Fehler beim Datenschutz Management können für Unternehmen existenzbedrohend werden, sei es weil die Reputation leidet, oder die zuständige Aufsichtsbehörde hohe Geldstrafen (z. B. bis zu 20.000.000 Euro) verhängen kann.
Ein systematischer Umgang mit dem Datenschutzmanagement unterstützt Unternehmen dabei, diese Risiken zu minimieren.
Inhalt
Was ist Datenschutz?
Wir alle haben das »Grundrecht auf informationelle Selbstbestimmung«. Das bedeutet, dass jeder Mensch entscheiden kann, wer auf welche personenbezogene Daten wo, wann und wie lange zugreifen darf.
Das Datenschutzrecht schützt natürliche Personen, indem es regelt, wie personenbezogene Daten verarbeitet werden dürfen.
Das Recht auf informationelle Selbstbestimmung ist ein universelles Grundrecht und gilt damit weltweit. Es unterscheidet sich in seiner Ausprägung im Datenschutzrecht und regional zum Teil erheblich.
Datenschutzregelungen gibt es nahezu weltweit, allerdings mit unterschiedlichen Ausprägungen, da diese in den nationalen Gesetzen festgelegt werden können.
Die DSGVO (»Datenschutz-Grundverordnung«) gilt für alle EU-Mitgliedsstaaten und dient zur Vereinheitlichung des europäischen Datenschutzes.
Einzelne Länder haben nationale Gesetzgebungen, wie z.B. das BDSG (Bundesdatenschutzgesetz) in Deutschland. »Öffnungsklauseln« innerhalb der DSGVO lassen dem nationalen Gesetzgeber einen gewissen Spielraum, um einzelne Angelegenheiten im nationalen Recht zu regeln.
Was sind personenbezogene Daten?
Um den Datenschutz zu verstehen, ist es wichtig zu wissen, was diese personenbezogenen Daten sind. Die Definition der EU-Verordnung 2018/1725 lautet:
Für wen das zu abstrakt ist, hier einige Beispiele aus dem Alltag, bei denen personenbezogene Daten ein Thema sind:
- Sie besuchen eine Webseite
- Sie speichern die Adresse eines Mitarbeiters für die Buchhaltung
- Jemand fotografiert Sie
- Sie bezahlen mit Ihrer Kreditkarte
- Ein Arzt notiert eine Diagnose über Sie
Besondere personenbezogene Daten
Wenn Sie die oben genannten Beispielen gelesen haben, erkennen Sie vielleicht Abstufungen der personenbezogenen Daten. Es gibt einige Daten, die besonders schützenswert sind. Dazu gehören zum Beispiel Informationen über:
- die Gesundheit
- die sexuelle Orientierung
- die Herkunft
- politische und religiöse Überzeugungen
Es ist anhand der Beispiele ersichtlich, warum z.B. eine Emailadresse anders schützenswert ist, als z.B. eine Krankenakte.
Warum ist Datenschutz für mein Unternehmen wichtig?
Das Bundesdatenschutzgesetz (BDSG) regelt den Umgang mit personenbezogenen Daten für Unternehmen und Behörden (öffentliche Stellen).
Im Extremfall kann ein Verstoß gegen die Datenschutzvorschriften bis zu drei Jahre Haft, oder eine Geldstrafe von bis zu 20 Mio. Euro bzw. 4% des gesamten, weltweit erzielten Jahresumsatzes nach sich ziehen (Artikel 83 Absatz 4 ff., DSGVO). Daraus ergibt sich eine hohe Relevanz für Unternehmen jeder Größe – und auch für die Verantwortlichen des Unternehmens.
Doch nicht nur aus rechtlicher Sicht ist die Einhaltung der Datenschutzvorgaben wichtig. Ein Blick in die Nachrichten genügt, um zu sehen, wie stark ein Vertrauensverlust im Bereich des Datenschutzes den Umsatz bzw. Aktienkurs beeinflussen kann und wie häufig größere Datenschutzprobleme auftreten.
Datenschutz Management und Auftragsvergaben
Eine hohe Relevanz hat der Datenschutz bei der Vergabe von Aufträgen aus öffentlicher Hand. Dies gilt für Sie als Anbieter, aber auch Ihre Subunternehmer (Auftragsverarbeitung, vgl. Artikel 28 Absatz 1 ff., DSGVO). Ein professionell organisierter Datenschutz ist in der Realität auch ein Faktor für mehr Umsatz und somit eine Chance für Sie als Unternehmen, sich von Mitbewerbern abzugrenzen.
Wenn Ihr Unternehmen veräußert werden soll, hat ein korrektes Datenschutzmanagement häufig einen positiven Einfluss auf den Verkaufspreis, da keine Rücklagen für Risiken erfolgen müssen.
Wie erfülle ich als Unternehmen die Anforderungen an den Datenschutz?
Praktisch jedes Unternehmen arbeitet mit personenbezogenen Daten und ist verpflichtet, dies gesetzeskonform umzusetzen. Somit stellt sich die Frage nach den notwendigen Maßnahmen, die ein Unternehmen ergreifen muss.
Genau darum geht es bei den technischen und organisatorischen Maßnahmen.
TOM – technische und organisatorische Maßnahmen
Um die Bedeutung der technischen und organisatorischen Maßnahmen zu verdeutlichen, erläutern wir die Vorteile solcher Maßnahmen anhand eines Beispiels –einem Cyberangriff. Dies ist kein Einzelfall in der deutschen Wirtschaft, wie diese bitkom-Studie zeigt:
Technische Maßnahmen können sein:
- Lösch- und Archivierungsregeln
- Berechtigungskonzepten
- Datenkategorisierungen
- Datensicherungen
Organisatorische Maßnahmen können sein:
- Datenschutzkonforme Verträge, wie z.B. zur Auftragsverarbeitung
- Regelungen zur grenzüberschreitenden Datenübermittlung
- Regelungen zu den Dokumentationspflichten
- Schutzbedarfsanalyse
Erfolgreiches Datenschutz Management –ein Beispiel
Die fiktive Firma Schlau & Clever GmbH lässt sich von Riscreen beraten. Riscreen übernimmt in dem Unternehmen die Aufgabe des Datenschutzbeauftragen. Gemeinsam werden die TOMs erarbeitet und erfolgreich umgesetzt.
Jahrelang konnte Schlau & Clever dank dieser Vorkehrungen problemlos arbeiten. Die Vorsorgemaßnahmen haben dafür gesorgt, dass zum Beispiel ausscheidende Mitarbeiter nicht mehr auf Daten zugreifen konnten.
In unserem Beispiel hat ein Fehler bei einer Bürosoftware nun dafür gesorgt, dass Hacker in das System eindringen und Ransomware installieren konnten. Die wichtigsten Firmendaten wurden verschlüsselt und sollen nur gegen eine Zahlung von 2,5 Millionen Euro wieder freigegeben werden.
Der IT-Verantwortliche handelt entsprechend des entwickelten Protokolls und informiert unverzüglich und geordnet alle relevanten Stellen – auch die externe Datenschutzbeauftragte von Riscreen.
Nach wenigen Minuten sind die wichtigsten Vorkehrungen getroffen. Die Dokumentation des Vorfalls läuft, z. B. werden forensische Daten und Hinweise aufgenommen. Die Datenschutzbeauftragte reicht eine vorläufige Meldung über einen Datenschutzvorfall bei der Datenschutzaufsichtbehörde ein.
Dank des betrieblichen Kontinuitätsmanagements (business continuity management, oder kurz BCM) gibt es Sicherungen der Firmendaten, die abgekapselt sind; sie sind also nicht aus dem Internet abrufbar. Die Ransomware befindet sich daher nicht auf diesen Sicherungen und die von den Hackern verschlüsselten Daten können damit ersetzt werden.
Kurze Zeit später ist dies erledigt und der Fehler in der Bürosoftware gefunden.
Nach eingehender Prüfung des abgeschlossenen Sachverhalts durch die Datenschutzbeauftragte, sendet diese eine abschließende Meldung an die zuständige Aufsichtsbehörde.
Statt eines Schadens von 2,5 Millionen Euro und eines weiteren (finanziellen) Schadens durch Reputationsverlust, entstand Schlau & Clever nur ein kleiner Schaden durch den Zeitverlust und das Zurücksetzen aller betroffenen Systeme um eine saubere Systemlandschaft wieder herzustellen, sowie einer forensischen Analyse zur Ermittlung des Angriffsursprungs.
Schlau & Clever hat in unserem Beispiel Glück gehabt. Der Regelfall ist jedoch, dass neben dem wirtschaftlichen Schaden durch die Erpressung und dem Datenverlust, häufig die Kosten der Wiederherstellung und des System-Neuaufbaus deutlich höher sind.
Wie ist Ihr Datenschutz Management aufgestellt?
Wie wäre dieser Fall bei Ihrem Unternehmen ausgegangen? Sind Sie vorbereitet? Bestehen TOMs, Ablaufprozesse und Dokumentationen?
Für Unternehmer ist es häufig schwierig, die Risiken im Unternehmen hinsichtlich des Datenschutzes abzuschätzen. Deshalb lassen Sie sich durch externe Berater, wie Riscreen, unterstützen.
Auf Wunsch stellen wir einen Datenschutz-Beauftragten, der einen Audit durchführt, die Prozesse in Ihrem Unternehmen hinsichtlich des Datenschutzes prüft und einen Vorschlag für die Optimierung vorlegt.
Sollte es dann wie im Beispiel einen Vorfall geben, der datenschutzrechtlich relevant sein könnte, sind wir für Sie erreichbar.
Sprechen Sie uns jetzt an für eine kostenlose Erstberatung.