Maßnahmen für die Praxis

Leitfaden zum Datenschutz in Unternehmen

26.02.2014 von Sebastian Kraska IDG ExpertenNetzwerk

Die EU ringt derzeit um neue Regularien zum europäischen Datenschutz. Welche Maßnahmen Unternehmen schon im Vorfeld ergreifen sollten, erläutert Rechtsanwalt Dr. Sebastian Kraska.

Rechtsanwalt Dr. Sebastian Kraska von der IITR GmbH: "Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann"
Foto: IITR GmbH

Von Dr. Sebastian Kraska (Externer Datenschutzbeauftragter)

Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden, beispielsweise für Hosting, Gehaltsabrechnung oder für das Management der externen IT-Systeme. Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen.
Es empfiehlt sich daher, zu Beginn zu analysieren

welche Dritt-Dienstleister im Unternehmen eingesetzt werden (gerade bei größeren und global agierenden Unternehmen nimmt dieser Schritt meist mehrere Monate in Anspruch) und

welche vertraglichen Rahmenbedingungen mit den jeweiligen Dienstleistern bestehen. Häufig gibt es keine einheitlichen Vertragsstrukturen oder es wurden Dritt-Dienstleister ohne detaillierte Vertragsvorgaben beauftragt.

Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen. als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen.

Checkliste für den Einsatz von Dritt-Dienstleistern

Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:

Festlegung technischer/organisatorischer Mindeststandards und Audit-Möglichkeiten: es sollten Regelungen beinhaltet sein, welche technischen/organisatorischen Mindeststandards vom Dritt-Dienstleister erwartet werden. Ferner sollte vertraglich geklärt werden, in welcher Art und in welchem Umfang der Auftraggeber durch Auditierungen die Einhaltung dieser Vorgaben kontrollieren können kann.

Informationspflicht im Datenverlustfall: der Dritt-Dienstleister sollte verpflichtet werden, im Datenverlustfall unverzüglich den Auftraggeber zu informieren

Regelung zur Datenlöschung: es empfiehlt sich ferner eine vertragliche Vereinbarung zur Datenlöschung bei Beendigung der vertraglichen Beziehungen.
Einsatz von Unter-Auftragnehmern: in der Praxis bewährt hat sich zudem die Empfehlung, dass auch der Einsatz von Unter-Auftragnehmern durch den Dritt-Dienstleister vertraglich geregelt werden sollte.
Ort der Datenverarbeitung: aufgrund der unterschiedlichen Handhabe gerade hinsichtlich europäischer und außer-europäischer Dritt-Dienstleister empfiehlt sich ferner eine Festlegung im Vertrag hinsichtlich des Orts der Datenverarbeitung.

Interne Regelungen zur Datenlöschung

Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung, entlang der Leitfragen: "Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?"
Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt. Denn nicht mehr vorhandene Daten können nicht entwendet werden.
Zum anderen zwingt es das Unternehmen zu einer transparenten und damit effizienten Unternehmens-IT. Denn nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden. Und schließlich wird damit auch die IT-Infrastruktur im Unternehmen entlastet.

Interne technische und organisatorische Mindeststandards definieren

In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen(sverbund) festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden.
Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.

Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:

Regelung zur Passwortvergabe bei Neueinstellungen, dem Prozess zur Passwortänderung sowie die Festlegung einer bestimmten Passwortkomplexität. Dies kann häufig hinsichtlich der Windows-Systeme über zentrale Systemvorgaben im Active Directory erfolgen; die Regelung sollte aber auch den Zugriff auf ERP-Systeme etc. erfassen.

Sperrung von gestohlenen und verlorenen Geräten: Empfehlenswert ist ferner die Festlegung eines Prozesses, den Diebstahl bzw. den Verlust eines IT-Gerätes mitteilen zu können, um es gegebenenfalls sperren bzw. löschen zu können.

Einsatz von Verschlüsselungsverfahren: Unternehmen legen in der IT-Sicherheitsrichtlinie zudem häufig den Einsatz von Verschlüsselungsverfahren fest (Notebook-Verschlüsselung, externe Datenträger, E-Mail-Verschlüsselung, gesicherter FTP-Server etc.).

Umgang mit Papierunterlagen: die strengsten IT-Sicherheitsvorgaben laufen ins Leere, wenn ausgedruckte vertrauliche Unterlagen nicht datenschutzkonform verwahrt und vernichtet werden. Die IT-Sicherheitsrichtlinie sollte daher die Voraussetzungen zu einem datenschutzkonformen Umgang mit Papierunterlagen schaffen (verschließbare Schränke, Aufstellen von Datentonnen bzw. Shreddern etc.).

Etablierung des Erforderlichkeits-Prinzips bei der Vergabe von Zugriffsberechtigungen: Es sollte konzernweit festgelegt werden, dass die Zugriffsvergabe auf Daten nur in dem Umfang erfolgen sollte, in dem dies für die jeweilige Person zur Durchführung ihrer Aufgaben erforderlich ist.

Umgang mit Smartphones im Unternehmen: Häufig ist es zudem angeraten, in der IT-Sicherheitsrichtlinie auch Vorgaben zum Umgang mit Smartphones im Unternehmen zu treffen. Zu klären sind dabei Fragen wie: Ist der Einsatz privater Geräte gestattet? Dürfen betriebliche Smartphones auch zu privaten Zwecken eingesetzt werden?

Datenschutz in Deutschland -

Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:

Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“

Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“

Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“

Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“

Entwicklung einer"Datenschutz-Richtlinie"

Neben der IT-Sicherheitsrichtlinie lohnt sich häufig auch die Entwicklung einer "Datenschutz-Richtlinie". In dieser können die datenschutzrelevanten Prozesse in einem Unternehmen zusammengefasst werden. So können zum Beispiel die folgenden Bereiche erfasst werden:

Wer ist innerbetrieblich für welches Datenschutzthema in welcher Form verantwortlich (Geschäftsleitung, IT-Leitung, Vertriebsleitung, Datenschutzbeauftragter etc.)?

Welcher Prozess ist beim Einsatz neuer Dritt-Dienstleister einzuhalten? (Verwendung vertraglicher Standards; Absprache mit verantwortlichen Personen etc.).

Festlegung eines Prozesses zur Neueinführung von IT-Systemen.

Wie ist mit Auskunftsbegehren von Betroffenen umzugehen (Wer ist verantwortlich? Wer stellt welche Informationen zur Verfügung? Wer kommuniziert mit dem Betroffenen?).
Behandlung von Anfragen der Datenschutz-Aufsichtsbehörden (Wer ist zu informieren? Wer beantwortet das Schreiben?).

In welcher Form und in welchem Rhythmus sind die Beschäftigten hinsichtlich des sicheren Umgangs mit Daten und der unternehmensinternen Vorgaben zu schulen?
Umgang mit Datenpannen: wie kann ein möglicher Datenverlust erkannt werden und wer ist unternehmensintern in diesem Fall zu informieren?

Königsdisziplin "Datenschutz-Philosophie"

Als"Königsdisziplin" können Unternehmen zudem eine eigene Datenschutz-Philosophie zum betriebsinternen Umgang mit dem Thema Datenschutz entwickeln und schriftlich festhalten, wenn das Thema Datenschutz für das Unternehmen von besonderer Bedeutung ist - z.B. wenn besonders vertrauliche Daten verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten den Gegenstand des eigenen Geschäftsmodells bildet.

Eine solche Datenschutz-Philosophie kann zum Beispiel der Unterstützung des Vertriebs gegenüber den Kunden dienen oder zur Dokumentation des Umgangs mit dem Thema Datenschutz gegenüber Pressevertretern eingesetzt werden.

Fazit

Unternehmen die sich mit dem Thema Datenschutz auseinandersetzen, sollten gerade in Anbetracht der häufig unklaren Regelungslage einen Perspektivenwechsel vornehmen und sich die Frage stellen: Welche Maßnahmen machen aus Sicht des Unternehmens Sinn, um Informationen im Unternehmen zu schützen?
Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann. Datenschutz-Maßnahmen dienen nicht nur dem Schutz personenbezogener Daten sondern der Sicherung sämtlicher innerbetrieblicher Informationen.
Die in dem Beitrag dargestellten Vorschläge bilden einen Handlungsrahmen für konkrete Maßnahmen, die unabhängig von den jeweils geltenden datenschutzrechtlichen Regelungen im Eigeninteresse der Unternehmen verfolgt werden sollten. (rb)

Zum Video: Leitfaden zum Datenschutz in Unternehmen