Bibliografische Information der Deutschen Nationalbibliothek: Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.
ISBN 978-3-7448-2448-4
© Birgit Pauls, Bernd Sommerfeldt 2017
Herstellung und Verlag:
BoD – Books on Demand GmbH, Norderstedt
Covergestaltung:
Birgit Pauls mit BOD Easy Cover
Datenschutz und IT-Sicherheit sind für jede Unternehmensgröße wichtig und auch rechtlich verbindlich umzusetzen. Im Zuge der schnelllebigen Entwicklung im Informationszeitalter eröffnen sich laufend neue Möglichkeiten, welche von allen Unternehmensgrößen genutzt werden.
Neue Möglichkeiten schaffen auch immer neue Herausforderungen; mit diesen wird das Unternehmen oft allein gelassen und die wichtigsten Schritte werden häufig nicht oder nicht hinreichend vollzogen, wodurch sich unkalkulierbare Risiken für den Unternehmer ergeben.
Dieses Buch wendet sich an alle Unternehmen sowie alle Interessierten und betrieblichen Datenschutzbeauftragten.
Eine vollständige Abhandlung aller Eventualitäten und Sonderfälle ist mit diesem Buch nicht beabsichtigt. Hier wird auf die wichtigsten Punkte eingegangen, die jeder Unternehmer in seinem Betrieb realisieren sollte, unabhängig von der Größe seiner Unternehmung.
Hinweis: Natürlich wendet sich dieses Buch sowohl an Männer als auch an Frauen gleichermaßen, wie auch an das dritte Geschlecht. Auf Formulierungen wie Unternehmer und Unternehmerinnen wurde aus Gründen der Vereinfachung und des besseren Lesens des Buches bewusst verzichtet.
Birgit Pauls und Bernd Sommerfeldt
Tönning / Lübeck im April 2017
Die wichtigste Grundlage beim Datenschutz ist der gesunde Menschenverstand. Die rechtliche Basis des Datenschutzes in Deutschland wird durch das Grundgesetz gebildet. Auf diesem baut eine Vielzahl weiterer Bestimmungen und Richtlinien auf, z.B. das Bundesdatenschutzgesetz, welches aktuell die wichtigste Norm für Unternehmen und andere private Stellen wie z.B. Vereine darstellt. In anderen Ländern gibt es vergleichbare Anforderungen aus bestehenden Verfassungen sowie Vereinbarungen, welche staatenübergreifend gelten, wie die EU-Datenschutz-Grundverordnung (DS-GVO), die ab 25. Mai 2018 anzuwenden ist.
Unterschiedliche Normen sind für unterschiedliche geografische Zonen herausgegeben worden; die wichtigsten hiervon sind DIN (Deutschland), EN (Europa) sowie ISO (International). Es gibt zahlreiche weitere Normen und Richtlinien, insbesondere in anderen geografischen Zonen. Problematisch wird dies erst, wenn bestimmte Normen, Gesetze und Vorgaben die eigenen Normen nicht berücksichtigen oder sogar zu dessen Bruch verpflichten. Als Beispiel sei hier der Patriot Act zu benennen, bezüglich dessen sich bereits verschiedene Gerichte in den USA und der EU mit Streitfällen beschäftigt haben.
Tatsächlich sind diese unterschiedlichen Handhabungen des Datenschutzes für Unternehmen einer jeden Größe notwendig. Die Globalisierung von Lösungen in der Datenverarbeitung erfordert eine genaue Betrachtung, welche dieser Lösungen für welchen Bereich einsetzbar ist oder auch ausscheidet.
Als Unternehmer sind Sie dafür verantwortlich, sicherzustellen, dass der Datenschutz lückenlos eingehalten wird und können bei Verletzung des Datenschutzes nicht auf mögliche Bestimmungen in Drittstaaten verweisen.
Was muss ein Unternehmen grundsätzlich tun, um die Mindestanforderungen an den Datenschutz einzuhalten? Die Themen sind recht übersichtlich:
Beim Datenschutz geht es immer um den Schutz personenbezogener Daten, d.h. um Angaben über sachliche oder persönliche Verhältnisse einer bestimmten oder bestimmbaren Person. Betriebs- und Geschäftsgeheimnisse ohne Personenbezug fallen nicht unter die Datenschutzgesetzgebung.
Bei der Zulässigkeit der Verarbeitung personenbezogener Daten gilt ein Verbot mit Erlaubnisvorbehalt: Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn
Unter den Punkt 2 fällt beispielsweise auch die Verarbeitung von zur Vertragserfüllung erforderlichen Daten.
Im Datenschutz gilt eine strenge Zweckbindung: Daten dürfen nur für die Zwecke verarbeitet werden, zu denen sie erhoben wurden. Eine Verarbeitung zu anderen Zwecken ist nur dann erlaubt, wenn der Betroffene in die Zweckänderung eingewilligt hat oder es eine gesetzliche Grundlage gibt, die eine Verarbeitung zu anderen Zwecken eindeutig gestattet.
Daten, die nicht vorliegen, können nicht verlorengehen oder missbraucht werden. In den Regelungen zum Datenschutz wird daher mit dem Prinzip der Datenvermeidung und Datensparsamkeit eine Datenminimierung gefordert. Es dürfen nur die Daten erhoben werden, die zur Erfüllung des Zweckes notwendig sind. Daten sollen nicht gespeichert werden, wenn der Zweck entfallen ist, es sei denn, es gibt dem entgegenstehende gesetzliche, vertragliche oder satzungsgemäße Aufbewahrungsfristen.
Ferner gilt das Prinzip der Direkterhebung, d.h. Daten sollen beim Betroffenen direkt erhoben werden. Ausnahmen sind möglich, sofern es gesetzlich gestattet ist.
Besondere Vorsicht ist bei der Übermittlung personenbezogener Daten an Dritte geboten. Die Verantwortung für die Zulässigkeit der Übermittlung trägt immer der Übermittelnde. Datenspeicherung in einer Cloud kann eine solche Form der Übermittlung darstellen. Häufig handelt es sich sogar um eine unzulässige Übermittelung in ein Drittland. Dazu gehört auch die Nutzung von E-Mail Providern im Ausland, z.B. Hotmail, Gmail etc. Tipp: Prüfen Sie vor der Cloud-Nutzung ganz genau, wer möglicherweise Zugriff auf Ihre Daten hat oder dies sogar in seinen AGB einfordert. Viele Daten dürfen auch nicht einfach in eine bestimmte bzw. überhaupt in eine Cloud, da diese dann dem Sicherheits- oder Trennungsanspruch nicht mehr gerecht wird. Bedenken Sie, dass Werbeversprechen keine rechtlich verbindliche Aussage darstellen und Sie sich auf diese später nicht berufen können.
Die aktuelle Gesetzgebung hat grundsätzliche technische und organisatorische Maßnahmen festgelegt, welche ggf. durch weitere Bestimmungen für Ihre Unternehmung anzupassen sind; dabei dürfen diese Mindestanforderungen jedoch nicht unterschritten werden. Darüber hinaus sind diese Bestimmungen laufend an den aktuellen technischen Stand anzupassen. Die Vorgaben der Gesetzgebung stellen Mindeststandards dar; bei der Nichteinhaltung dieser Standards handelt es sich nicht um ein Kavaliersdelikt.
Der Gesetzgeber hat (in § 9 BDSG mit Anhang, Art. 32 DS-GVO) festgelegt, dass personenbezogene Daten und die damit in Zusammenhang stehenden Persönlichkeitsrechte hinreichend zu schützen sind. Hieraus ergeben sich auch die sogenannten technischen und organisatorischen Maßnahmen, kurz TOMs. Neben den allgemeinen Datenschutzbestimmungen können in weiteren Gesetzen zusätzliche Anforderungen hineinfließen, so dass diese nicht alleine betrachtet werden sollten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat ein umfangreiches Werk an Richtlinien, Empfehlungen und Katalogen erstellt, welche der Sicherheit in der Informationstechnologie dienen. Hierbei wird allerdings insgesamt auf die IT und alle zugehörigen Daten Bezug genommen. Es kommt zwangsläufig zu Überschneidungen.
Obgleich Datenschutz und IT-Sicherheit uns schon seit vielen Jahrzehnten begleiten, werden sie allzu leicht als Bürde gesehen, obgleich der Nutzen unverkennbar ist, wie auch die Notwendigkeit einer klaren Sicherheit und definierten Regelungen zum Umgang mit den