Unser Datenschutzbeauftragter informiert

Der Wesenskern des Datenschutzrechts besteht darin, der Machtungleichheit zwischen Organisationen und Einzelpersonen entgegenzuwirken. Datenschutz basiert hierbei auf dem Grundgesetz. Das Grundgesetz gewährleistet jedem das Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen. Geschützt werden also nicht Daten, sondern die Freiheit der Menschen, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß.

Im Rahmen der zunehmenden Modernisierung und Digitalisierung gewinnt Datenschutz, welcher durch das Bundesdatenschutzgesetz geregelt ist, immer mehr an Bedeutung, um dieses Grundrecht zu sichern. Erweitert wird dies durch berufsrechtliche Regelungen, wie bspw. die Verschwiegenheitsverpflichtung in einer Steuerberatungskanzlei.

Wichtigste Rechte sind der Grundsatz der Einwilligung, das Widerspruchsrecht, das Auskunftsrecht und das Benachrichtigungsrecht. Letzteres regelt, dass bei Verlust oder unberechtigter Weitergabe personenbezogener Daten grundsätzlich die Betroffenen zu informieren und ggf. die Datenschutzbehörde zu informieren sind.

Die gesetzlichen Vorgaben zum Datenschutz stellen hierbei Regelungen dar, die der zunehmenden Gefahr von Datenverlust und unzulässiger Datenweitergabe, auch im Hinblick auf Cyberkriminalität, entgegenwirken sollen. Insbesondere werden Unternehmen angewiesen, sich in Zeiten ohne Vorfall bereits mit Maßnahmen der Prävention zu befassen, aber auch Anweisungen festzulegen, was bei einem Vorfall zu tun ist. Dadurch können zusätzlich Imageschäden und Vertrauensverlust vermieden werden.

Ebenfalls wird gesetzlich die Verantwortlichkeit klar geregelt, denn verantwortlich bleibt stets das Unternehmen selbst und nicht die betreuende IT-Firma oder der Kunde.

Datenschutz betrifft hierbei allerdings nicht nur externe Kunden. Ebenfalls fallen sämtliche  Mitarbeiter, Lieferanten, Kooperationspartner aber auch Bewerber oder sogar die Internetpräsenz in den Schutzbereich.

Entsprechend dem Bundesdatenschutzgesetz hat jedes Unternehmen, welches mehr als 9 Personen regelmäßig mit automatisierter Datenerhebung, -verarbeitung und -nutzung beschäftigt, einen Datenschutzbeauftragten zu bestellen. Dieser hat dann entsprechende Anweisungen für die Schutzbereiche festzulegen. Bei kleineren Unternehmen oder solchen die weniger als 9 Personen mit Datenerhebung, -verarbeitung und –nutzung beschäftigen, sollten die Regelungen jedoch in angepasster Form ebenfalls beachtet werden.

Dabei scheint der Einsatz z. B. eines internen EDV-Leiters als Datenschutzbeauftragter zunächst naheliegend. Aufgrund seines großen Einflusses auf die Unternehmensdaten und die Gefahr der Manipulation ist dieser jedoch in der Regel nicht geeignet, da der Kontrollierende nicht die eigenen Tätigkeiten überwachen kann. Aus demselben Grund ist die Unternehmensleitung ebenfalls nicht zulässig.

Die Ursachen für Verstöße und Vorfälle sind vielseitig. Sie reichen von Hackerangriffen, Schadsoftware, internem Datendiebstahl, Nachlässigkeit bis hin zur mangelhaften Systemsicherheit. Betroffen sind hierbei zunehmend E-Mails und Mobile Datenträger, wie USB-Sticks und Smartphones.

Regelungen die in keinem Unternehmen  fehlen dürfen, sind die Zutrittskontrolle zu den betrieblichen Räumen, Zugangskontrolle zu IT-Systemen, Zugriffsbeschränkungen für den eingeschränkten Zugriff auf Daten, Weitergabekontrolle zum Schutz vor unberechtigter Weitergabe sowie Maßnahmen zur Verfügbarkeit zum Schutz vor Datenverlust. In Unternehmen ist folgend ein Notfallmanagement für Datenverlust oder Systemausfall einzurichten.

Wichtigste Grundpfeiler sind ein aktueller Virenschutz und eine aktuelle Firewall, der Einsatz sicherer Passwörter, Verwendung der aktuellsten Softwareversionen und der Einsatz einer verschlüsselten Kommunikation.

Eine Maßnahme die einen sehr hohen Grad an Sicherheit bietet, stellt die Sensibilisierung der Mitarbeiter dar. Da das einfachste Einfallstor für Angriffe E-Mails sowie mobile Datenträger sind, ist eine regelmäßige Schulung der Mitarbeiter zum Umgang mit nicht sicheren E-Mails und bspw. USB-Sticks unerlässlich.

Insgesamt sind organisatorische und technische Maßnahmen unverzichtbar, um Risiken und Bedrohungen zu begegnen und Gesetzesverstöße zu vermeiden.

Hierbei besteht oft ein Spagat zwischen Sicherheit und Kommunikation. Denn eine hohe Sicherheit kann dazu führen, dass Daten erschwert untereinander getauscht, gelesen oder gar empfangen werden können.

Bei Ruschel & Collegen sind organisatorische und technische Maßnahmen in einem hohen Maße gegeben, um nicht nur Sicherheit für die eigenen Daten zu gewährleisten, sondern auch um sicher zu stellen, dass Informationen und Daten von Mandanten jederzeit vor Verlust und unberechtigter Weitergabe geschützt sind. Gern können wir Sie auch bei Ihrem eigenen Notfallmanagement unterstützen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert