DS-GVO (2): Zeit zu handeln

Bis 25. Mai 2018 ist es nicht mehr weit. Wie Umfragen ergeben haben, sind viele Unternehmen noch immer nicht auf die neuen Vorgaben und Vorschriften vorbereitet. Seit kurzem ist auch das Datenschutz-Anpassungs- und -Umsetzungsgesetz  (DSAnpUG-EU) also das neue Bundesdatenschutzgesetz (BDSG) verabschiedet. Es ergänzt und konkretisiert, in nationalen Öffnungsklauseln, die DS-GVO. Dort sind u.a. der Beschäftigtendatenschutz und die Bestellpflicht des Datenschutzbeauftragten (DSB) geregelt.

Datenschutz-Folgenabschätzung

Die DSFA ist der Ersatz der Vorabkontrolle aus dem BDSG. Unternehmen sind in bestimmten Fällen verpflichtet, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Dies gilt immer dann, wenn eine Form der Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellt. Insbesondere findet sie Anwendung bei neuen Technologien oder aufgrund des Wesens, des Umfangs, des Kontexts oder der Zwecke der geplanten Verarbeitung. Die Aufsichtsbehörden sind aufgefordert, Listen von den Verarbeitungsvorgängen zu erstellen, bei denen typischerweise Folgenabschätzungen erforderlich sind. Dies kann durch Positiv- oder Negativlisten erfolgen, welche die Verfahren enthalten, für die eine DSFA zwingend erforderlich oder eben nicht erforderlich ist.

Vertragsmanagement

Im Rahmen des Vertragsmanagements sollten alle von einem Unternehmen eingesetzten Dienstleister in einer Liste zusammengefasst werden. Sinnvollerweise zunächst unabhängig davon, ob sie personenbezogenen Daten verarbeiten oder nicht. Im nächsten Schritt können der Datenschutzbeauftragte oder die Datenschutz-Koordinatoren prüfen, ob durch den Dienstleister personenbezogene Daten verarbeitet werden, ob eine Vereinbarung zur Auftragsverarbeitung nach § 11 BDSG erforderlich ist und ob diese bereits abgeschlossen wurde. Im Anschluss daran wird geprüft, welche Verträge nach den Vorgaben der DS-GVO abgeschlossen oder angepasst werden müssen. Was durch die umfangreicheren Vorgaben vermutlich viele Verträge betrifft. Sofern keine Verträge nach § 11 BDSG vorhanden sind, sollt die eine Ihrer wichtigsten Prioritäten sein.

Verpflichtung zur Verschwiegenheit (ehemals Datengeheimnis)

Kennen wir aus § 5 BDSG das Datengeheimnis, suchen wir in der DS-GVO vergeblich danach. Trotzdem sollten Mitarbeiter unbedingt eine Verpflichtungserklärung abgeben, welche sie zur Verschwiegenheit über personenbezogene Daten verpflichtet. Der Gesetzgeber schreibt in Art. 29 DS-GVO, dass der Verantwortliche sicherzustellen hat, dass die ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen. Diese Verpflichtung der Mitarbeiter wird sinnvollerweise schriftlich vorgenommen, damit der Verantwortliche bei Bedarf gegenüber einer Aufsichtsbehörde für den Datenschutz nachweisen kann, dass dies auch tatsächlich geschehen ist. Zusätzlich dient dies als erste Sensibilisierungsmaßnahme für die Mitarbeiter. Idealerweise erfolgen die Verpflichtungen im Rahmen einer Unterweisung zu Datenschutz.

Datenschutz-Schulung

Im Rahmen von Datenschutzschulungen hat der Datenschutzbeauftragte die Mitarbeiter auf die konkreten datenschutzrechtlichen Regelungen und Prozesse im Unternehmen zu unterweisen. Dies gehört zu seinen Tätigkeiten gem. Art. 39 Abs. 1 DS-GVO. Die Datenschutz- Schulung und die Verpflichtung auf Verschwiegenheit sind beide als Teil der organisatorischen Maßnahmen anzusehen, die dem Schutz der personenbezogenen Daten dienen.

Prozess zur Wahrnehmung der Rechte von betroffen Personen

Es muss zwingend ein Prozess installiert werden, über den sichergestellt wird, dass betroffene Personen ihre Rechte gem. DS-GVO (Art. 12 - 22 + 38 + 77) wahrnehmen können. Derartige Anfragen zur "Datenauskunft" von Betroffenen dürfen keinesfalls im Unternehmen nachlässig behandelt werden und im Tagesgeschäft untergehen (Ablage P-rund ist eine der schlechtesten Lösungen).

Bedingt durch die vielfältigen Rechte der betroffenen Person, vervielfachen sich die vom Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von betroffenen Personen. Die betroffene Person soll wissen, wer welche Daten zu welchem Zweck über sie verarbeitet und in die Lage versetzt werden, aufgrund er Informationen die Datenverarbeitung zu prüfen.

Diese Anforderung kann nur erfüllt werden, wenn das verantwortliche Unternehmen die betroffene Person ausreichend, umfassend und verständlich über die Datenverarbeitungsvorgänge informiert.
Um dies bewerkstelligen zu können, müssen im Unternehmen die Sachverhalte ermittelt werden, in welchen Informationspflichten bestehen. Beispiele hierfür sind: die Anmeldung zu Newsletter, CRM-Systeme, Aufzeichnungen im Callcenter, Bewerbungsverfahren,  Abschluss eines Kaufvertrages im Onlineshop, etc.

In einem Prozess ist zu definieren, wie zu reagieren ist, falls eine betroffene Person (intern oder extern) von ihren Rechten Gebrauch macht. An wen und in welcher Frist sollen Anfrage von Betroffenen weitergeleitet werden? Wer ist für die Bearbeitung der Anliegens zuständig? Was ist bezüglich der Vertraulichkeit zu beachten? Wer sind die Ansprechpartner für verschiedene Systeme, um beispielsweise die Löschung von personenbezogenen Daten überall im Unternehmen und bei den Datenempfängern gewährleisten zu können? Dies gilt natürlich nur, sofern der Löschanspruch der betroffenen Person begründet bzw. gesetzlich zulässig ist.

Meldung von Datenschutzverstößen

Unternehmen müssen im Falle einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 Abs. 1 DS-GVO unverzüglich handeln. Binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, soll die Meldung bei der zuständigen Aufsichtsbehörde erfolgen. Von einer Meldung kann nur abgesehen werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person, ist nach Art. 34 DSGVO zusätzlich zur Aufsichtsbehörde die betroffene Person zu informieren.

Um sicherstellen zu können, dass diesen umfangreichen Melde- bzw. Informationspflichten nachgekommen werden kann, muss im Unternehmen ein Prozess implementiert sein, in welchem die Verletzung des Schutzes personenbezogener Daten erkannt, der Sachverhalt an den Datenschutzbeauftragten weitergeleitet und anschließend von diesem bewertet wird. Der Datenschutzbeauftragte prüft dabei, ob ein normales oder ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen vorliegt oder ob ggf. kein Risiko vorliegt. Bei dem Prozess müsse auch die eigenen  Auftragsverarbeiter eingebunden werden. Idealerweise wird zur Bearbeitung solcher Vorfälle ein Kompetenzteam z. B. aus Datenschutzbeauftragtem, der IT-Sicherheit und der Rechtsabteilung versuchen, den Sachverhalt aufzuklären. um der Geschäftsleitung die Grundlage für die letztendliche Entscheidung zur Meldung vorzubereiten.

Zeit zu Handeln: Datensicherheit nachweisen können

Die neuen Vorgaben für die Sicherheit der Verarbeitung finden sich hauptsächlich in Art. 5 Abs. 1 lit. f DS-GVO sowie in Art. 32 DS-GVO. Zudem gelten weitere Bestimmungen wie Art. 24, 25, 36 DS-GVO die Datensicherheit. Der § 9 BDSG inklusive Anlage wird dabei durch Art. 32 DS-GVO ersetzt. Hier findensich allerdings lediglich abstrakte Anhaltspunkte zur Umsetzung technischer und organisatorischer Maßnahmen.

Die konkreten Maßnahmen, wie in der Anlage zu § 9 BDSG aufgezählt, werden in Art. 32 Abs. 1 DS-GVO - abgesehen von Pseudonymisierung und Verschlüsselung - nicht genannt. Die Gebote aus der Anlage zu § 9 BDSG (von der Zutritts- bis zur Trennungskontrolle) werden durch Begriffe und Beschreibungen ersetzt, die auf den ersten Blick reichlich interpretationsbedürftig erscheinen und die vermutlich noch von den Aufsichtsbehörden bzw. der Praxis konkretisiert werden. Es empfiehlt sich unbedingt, an die Dokumentation der technisch-organisatorischen Maßnahmen nach § 9 BDSG angelehnt, die ergriffenen Maßnahmen zu dokumentieren und sodann kontinuierlich zu aktualisieren.

Was ist mit den Bußgeldern?

Auch wenn ein Datenschutzmanagementsystem bei unbeabsichtigten Datenschutzverstößen
nicht mit Sicherheit den Vorwurf der Fahrlässigkeit abwehren und es Fehler nicht völlig unterbinden kann, ist dessen Betrieb jedoch nach Art. 83 Abs. 2 lit. d zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

Grundsätzlich ist davon auszugehen, dass auch die deutschen Aufsichtsbehörden in absehbarer Zeit den neuen Bußgeldrahmen der DS-GVO (bis zu 20 Mio. oder 4% des weltweiten Jahresumsatzes) zumindest ansatzweise ausschöpfen werden. Die doch relativ geringen Bußgelder des BDSG gehören damit der Vergangenheit an.

News Flash

POW3R Konferenz in München

Die wichtigste Veranstaltung für IBM i-Anwender in diesem Jahr – nicht verpassen!

Geballte, unverzichtbare Information für Power i-Anwender: Auf der POW3R Herbst-Konferenz in München am 13. & 14. November 2017 finden Sie Informationen zur Zukunft der IBM i – Plattform, die Sie sonst nirgendwo bekommen: Strategische Vorträge für Entscheider, Fortbildung für Spezialisten (bei den angeschlossenen Common Sessions), eine IBM Keynote zu Watson - allesamt wertvolle Grundlagen für Ihre Planung und Entwicklung.

Natürlich ist auch Razlee dabei ....

Dazu ein spannendes Konferenzprogramm mit zahlreichen wichtigen Vorträgen. Auf keinen Fall verpassen: Vortrag von Robert Engel zu DSGVO, der anstehenden Änderung zum Datenschutz, die tatsächlich ALLE Unternehmen betrifft. Wie iSecurity-Produkte Sie bei Ihren intern notwendigen Anpassungen unterstützen, erfahren Sie am ersten Veranstaltungstag (13.11.2017, 16:20 Uhr, Forum 8, P4).  

Fit für den digitalen Fortschritt: Weitere Themen, die Ihnen auf der POW3R begegnen werden:

  • Die aktuelle Generation von IBM Power Systems und IBM i, Roadmap
  • Wie RPG die Basis für moderne Anwendungen mit grafischer Oberfläche bleibt
  • Wie gut und zukunftssicher sind OpenSource Lösungen
  • Bewertung von Bezugsmodellen: Cloud, SaaS, IaaS, Managed Services…
  • Die Wahrheit über BI/BigData
  • Wie geht professionelles Dokumentenmanagement?
  • Wie viel Hochverfügbarkeit und Sicherheit muss sein? Auch für mobile Anwendungen.
  • Integration von Speicher und anderen Plattformen
  • Warum moderne ERP Systeme besser, flexibler und effektiver sind
  • Wie IT-Wissen richtig vererbt, ergänzt entwickelt werden kann

 

Seien Sie unser VIP-Gast!

Wir freuen uns, Sie auf dem IT-POW3R-Kongress in München zu begrüßen - im Vortrag oder einfach auf ein persönliches Wort! Kommen Sie als mein VIP-Gast - dann sind Catering, Veranstaltungsunterlagen und die Online-Veranstaltungs-Dokumentation aller Vorträge für Sie frei. 

Hier können sie sich direkt online / per Fax-Formular anmelden. Wichtig: Bitte tragen Sie bei Ihrer Anmeldung den Razlee-VIP-Code ein: 11P3R17RzL



 

BMU Northeim schließt Partnerschaft mit Raz-Lee Security

Rödental, 6.07.2017 ++++- Raz-Lee Security GmbH gibt bekannt, dass mit der Northeimer BMU Beratungsgesellschaft Mittelständischer Unternehmen mbH eine Vertriebsvereinbarung zur Aufnahme der iSecurity Produkte von Raz-Lee in deren Produktportfolio geschlossen wurde.

Seit 1980 ist IT-Beratung mit Vertrauen Schwerpunkt bei BMU. Zu Vertrauen gehört auch Sicherheit und so ist es kein Wunder, dass BMU auf der Suche nach einer modularen IBM i Security-Lösung für ihre Kunden auf Raz-Lee gestoßen ist. Damit wird das Produktportfolio im Bereich der Sicherheit, in dem BMU für die Bereiche Virenschutz von Client und Servern sowie Spamfilterung und E-Mail-Sicherheit schon mit anderen namhaften Herstellern zusammenarbeitet perfekt abgerundet.

Über BMU: BMU steht für eine solide, überzeugende Beratung und Ausführung mit langjähriger Tradition. Den Erfolg der Mandanten zu unterstützen ist oberstes Ziel. Nach diesem Prinzip entwickelt BMU nachhaltige Lösungen gemeinsam mit ihren Auftraggebern. Betriebswirtschaftliche Beratung sowie EDV-Konzeptionen, Implementierung und Integration von Standard-, Partner- und Individual-Software für mittelständische Unternehmen gehört zu den Schwerpunkten. Daneben ist BMU auch auf Bereiche wie Managed Services, Cloud-Computing und Mobile Lösungen spezialisiert. Hohe Beraterkompetenz in Verbindung mit umfassendem technischen Know-How ermöglicht es, für Mandanten stets die bestmögliche Lösung zu finden.

Über Raz-Lee Security GmbH und iSecurity: Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten.

 

Für weitere Informationen kontaktieren Sie bitte:
Robert Engel
Raz-Lee Security GmbH
Schulstr. 32
96472 Rödental
Tel. +49 9563 7406-31
E-Mail robert.engel@razlee.de

 

 

IT Power Services schließt Partnerschaft mit Raz-Lee Security

IT Power Services schließt Partnerschaft mit Raz-Lee Security 

Rödental, 8.03.2017 - Raz-Lee Security GmbH gibt bekannt, dass die österreichische IT Power Services GmbH künftig auch die iSecurity Produkte von Raz-Lee im Portfolio hat.

IT Power Services sind spezialisiert auf Enterprise Services, Infrastruktur, Software und Cloud-Lösungen in Banken-Umgebungen, aber auch in einer breit aufgestellten Klientel aus allen Branchen. Viele Jahre arbeiteten Mitarbeiter von IT Power Services bereits als Dienstleister mit iSecurity Modulen von Raz-Lee. Das Know how ist die Basis für qualifizierte Leistungen im Bereich der IT Sicherheit auf IBM Power i Systemen die nun um die iSecurity Module von Raz-Lee ergänzt werden. IT Power Services ergänzt mit den Raz-Lee Produkten die Kompetenz im IBM i Security Umfeld um leistungsfähige Software.


Weiterlesen ...

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

Rödental, 11.01.2017 - Raz-Lee Security GmbH gibt bekannt, dass KI Systemgefährten, die „Andersdenker“ aus Bielefeld künftig auch iSecurity Produkte von Raz-Lee im Portfolio haben.

Kontakte zueinander knüpften Raz-Lee und KI Systemgefährten auf einer System i update Veranstaltung. Nach kurzem „Beschnuppern“ wurden bereits erste Projekte pragmatisch und innerhalb kürzester Zeit realisiert. Die Philosophie für Kunden ohne großen Aufwand Security zu implementieren, kommt der Struktur beider Unternehmen sowie den Wünschen der Kunden entgegen. Mit den Produkten von Raz-Lee wird das Portfolio der KI Systemgefährten um wichtige Sicherheitsfunktionen für IBM Power i Systeme im Bereich externe Zugriffe, Betriebssysteminternas und Datenbankänderungen ergänzt.


Weiterlesen ...

Artikel von Robert Engel aus DV-Dialog 12/2016

Mehr Sicherheit für IBM i

BESSERE AUTOMATION WICHTIGER SECURITY-AUFGABEN

Jeder Blick über den Tellerrand bringt neue Erkenntnisse. Das gilt auch für die Sicherheit der IBM-Serverplattform Power i. Zahllose Security-Projekte beginnen und enden mit der Firewall, motiviert durch die Vorstellung, man müsse lediglich die Zugriffe auf IBM i regulieren um Sicherheit zu schaffen (siehe DV-Dialog 10/2016, Seite 4). Doch es gibt eine große Bandbreite weiterer Sicherheits-Aspekte, die nicht vernachlässigt werden dürfen - jenseits des Tellerrands.


Weiterlesen ...

Partner

IT Power Services

 

 

KI Systemgefährten

 

 

BluVisio

 

 

UBL Informationssysteme

 

 

EPOS

EPOS GmbH Consult & Training

 

CPB Software

 

 

KCV

 KCV

 

Gerd Gesner

 Gerd Gesner

 

Lupprich EDV-Beratung

Lupprich EDV-Beratung

 

Michael Weiß IT-Consulting & Datenschutz

Michael Weiß IT-Consulting & Datenschutz

 

pheron technologies group

 pheron technologies group GmbH

 

Referenzen

Free Download