Datenschutz

Wer zur Hölle ist TOM?

A. Zocholl

Immer wieder hört man von „TOM“, wenn es um die Sicherheit von Daten geht. Damit ist natürlich keine Person gemeint, sondern eine ganze Reihe von Maßnahmen für die Datensicherheit – technischer und organisatorischer Art. Für einen einzelnen wäre das also ein bisschen viel. Damit beim Datenschutz nichts schiefgeht, braucht man also bestimmte Sicherungsmaßnahmen. Die Maßnahmen sind laut Art. 32 DSGVO „Sicherheit der Verarbeitung“ zu ergreifen, um das Risiko auf ein „angemessenes Schutzniveau“ zu reduzieren.

Risiken einschätzen und kontrollieren

Ursprünglich kommen die Maßnahmen aus der Informationssicherheit, wo sie ein sehr wichtiger und umfangreicher Teil des Informationssicherheitssystems (ISMS) sind, das man sich zum Beispiel nach der DIN ISO 27001 zertifizieren lassen kann. Im BDSG sind ihre Zwecke daher auch genauer definiert, und zwar können sie in 14 Bereiche unterteilt werden (früher 8):

  1. Zugangskontrolle,
  2. Datenträgerkontrolle,
  3. Speicherkontrolle,
  4. Benutzerkontrolle,
  5. Zugriffskontrolle,
  6. Übertragungskontrolle,
  7. Eingabekontrolle,
  8. Transportkontrolle,
  9. Wiederherstellbarkeit,
  10. Zuverlässigkeit,
  11. Datenintegrität,
  12. Auftragskontrolle,
  13. Verfügbarkeitskontrolle,
  14. Trennbarkeit

In jedem dieser Bereiche können jeweils technische und organisatorische Maßnahmen ergriffen werden, um die personenbezogenen Daten besser zu schützen. Das heißt aber nicht, dass jedes Unternehmen in jedem dieser 14 Bereiche Maßnahmen umsetzen muss. Hat ein Unternehmen keine in einem bestimmten Bereich, dann kann dieser auch beim Audit ausgeklammert werden. Vielmehr sind die Maßnahmenbereiche als Hinweise zu verstehen, wo die eigenen Risiken überprüft werden müssen.

Was sind „technische Maßnahmen“?

Technische Maßnahmen sind dabei etwa Vorkehrungen zum Schutz gegen physische Angriffe oder andere Vorkommnisse.

Beispiele:

  • Ein Notstromaggregat kann im Fall eines Stromausfalls verhindern, dass Daten unwiederbringlich verloren gehen.
  • Schließsysteme und Sicherheitsschlösser in Türen und Schränken oder Alarmanlagen verhindern den Zutritt unbefugter Personen zu Räumen, in denen Daten aufbewahrt oder gespeichert werden.

Organisatorische Maßnahmen geben mit festgelegten Abläufen und Prozessen einen Handlungsrahmen für den sicheren Umgang mit Daten.

Beispiele:

  • Die Personenkontrolle beim Pförtner,
  • die Festlegung der zugriffsberechtigten Personen für Ordnersysteme und Dateien,
  • Notfallpläne, eine dokumentierte Schlüsselausgabe.

 Weitere Beispiele:

  • Vertraulichkeitsverpflichtungen der Mitarbeiter
  • Ein passwortgeschützter Bildschirmschoner schützt Geschäftsdaten und -informationen vor unbefugtem Zugriff.
  • Der Monitor ist so auszurichten, dass niemand Einsicht auf angezeigte Inhalte erhält. Nach Möglichkeit sollte der PC oder Laptop so stehen, dass niemand hinter dem Rücken des/der Arbeitenden vorbeigehen kann und volle Sicht auf den Monitor hat.
  • Passwörter dürfen nicht auf Zetteln notiert am Arbeitsplatz liegen gelassen werden oder als Post-its am Monitor kleben.
  • die Aufstellung von Berechtigungskonzepten

Da manche Maßnahmen sowohl technisch als auch organisatorisch sind und sich unter Umständen auch mehreren Bereichen zuordnen lassen, überschneiden sie sich teilweise. Wichtig ist, dass sich das Risiko durch die Umsetzung der Maßnahmen auf einen akzeptablen Wert reduziert, der vorher festgelegt wird. Dazu ist eine Risikoanalyse aller Verarbeitungsvorgänge in der Organisation unerlässlich.

Haben Sie Ihre Risiken unter Kontrolle?

Brauchen Sie Unterstützung bei der Risikoanalyse?

Ich helfe Ihnen gerne weiter. Hier klicken!

Aufgaben des Verantwortlichen

A. Zocholl

Der Verantwortliche einer Organisation ist natürlich auch für die Datenschutzerklärung der Website verantwortlich. Da der Internetauftritt das Aushängeschild der Organisation ist, sollte er auch diese Seite nicht ganz vernachlässigen. Von Zeit zu Zeit kann ein Blick darauf zumindest nicht schaden.

Jede Internetseite, die eine Datenschutzerklärung hat, benennt dort einen „Verantwortlichen“ für die Datenverarbeitung. Dies gilt zunächst nur für den Internetauftritt, doch in der Regel ist die Geschäftsführung eines Unternehmens, Vereins oder einer Institution natürlich auch insgesamt für den Datenschutz in der Organisation verantwortlich. In der Datenschutzerklärung ist die Angabe der juristischen Person als Verantwortlicher in der Regel erlaubt, doch bei kleinen Organisationen ohne Datenschutzbeauftragten wird dies ohnehin eine einzelne Person sein, die man dann auch nennen sollte.

Manchmal ist in der Datenschutzerklärung nur der Verweis auf das Impressum angegeben. Dann muss man mit weiteren Klicks nach den gewünschten Informationen erst suchen. Ob dies noch dem Transparenzgebot entspricht, ist fraglich. Vor allem, wenn kein Datenschutzbeauftragter bestellt ist, sollten Betroffene, die sich an den Verantwortlichen wenden möchte, diesen auch leicht und schnell erreichen können. Benannt werden muss ein Datenschutzbeauftragter nur dann, wenn besondere Kategorien von personenbezogenen Daten wie Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft usw. in großen Mengen verarbeitet werden, das Unternehmen ständig risikobehaftete Verarbeitungsvorgänge durchführt, wie z. B. eine Videoüberwachung, oder mindestens 20 Mitarbeiter (Angestellte, Praktikanten, Teilzeitkräfte, Freelancer) ständig personenbezogene Daten verarbeiten, z.B. mit einem E-Mail-Programm.

Insbesondere letzteres führt dazu, dass fast alle Unternehmen mit Büroarbeitsplätzen einen Datenschutzbeauftragten benötigen, selbst wenn dort nur Zeitarbeiter, Freelancer oder Studenten arbeiten. Ein Verstoß gegen diese Pflicht ist eine Ordnungswidrigkeit und wird im schlimmsten Fall mit einem Bußgeld bis zu 50.000 Euro belegt.

Wenn Sie tatsächlich keinen Datenschutzbeauftragten benennen müssen, dann müssen Sie dies in der Datenschutzerklärung auch nicht erwähnen. In diesem Fall sind Sie als Geschäftsführer selbst für den Datenschutz verantwortlich. Sie können allerdings nicht als ihr eigener Datenschutzbeauftragter fungieren. Oftmals sieht man in Datenschutzerklärungen kleinerer Unternehmen oder Vereine, dass als Datenschutzbeauftragter der Geschäftsführer angegeben wird. Benötigt die Organisation keinen Datenschutzbeauftragten, dann sind Sie als Geschäftsführer allerdings nur derjenige, der die Verantwortung für die Verarbeitung von Personendaten und mögliche Verstöße trägt. Als solcher sind Sie der direkte Ansprechpartner für Betroffene, die sich an Sie wenden wollen.

Ansonsten gilt auch für kleine Organisationen, dass der oder die Geschäftsführer/in, IT-Leiter/in, oder Personalverantwortliche nicht gleichzeitig Datenschutzbeauftragter sein können. Da Datenschutzbeauftragte eine Kontrollfunktion haben, würden sie sonst in die Lage kommen, sich selbst kontrollieren zu müssen. Aus diesem Grund sollten Sie sich als Geschäftsführer/in auf keinen Fall selbst als Datenschutzbeauftragte/r angeben.