Ab Mai 2018 gilt in der Europäischen Union ein neues Datenschutzrecht, das in allen EU-Mitgliedsstaaten unmittelbar gilt. Kanzleien und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen. Hierfür verbleibt nicht einmal mehr ein Jahr. Der im Vergleich zum bisherigen BDSG drastisch erhöhte Sanktionsrahmen bis 20 Millionen Euro bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes (es gilt der jeweils höhere Betrag) macht deutlich, dass der Gesetzgeber die Forderung eines regelkonformen Umgangs mit personenbezogenen Daten absolut ernst nimmt.

Auch der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten Gebrauch gemacht.Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurden erforderliche Festlegungen zu Aufsichtsbehörden, Beschränkungen der Rechte der betroffenen Personen und zur Einschränkung der Befugnisse von Aufsichtsbehörden vorgenommen. Diese Regelungen sind in das neue Bundesdatenschutzgesetz (BDSG-neu) eingeflossen. Das neue BDSG wird das bisherige BDSG ersetzen und wie die DS-GVO ab dem 25.05.2018 gelten.

Ein wichtiger Baustein, den Kanzleien und Unternehmen künftig stärker berücksichtigen und ggfs. auch überarbeiten müssen, ist die Auftragsdatenverarbeitung (ADV). Die vertraglichen Grundlagen zur Auftragsdatenverarbeitung (ein Beispiel ist die Nutzung der Dienstleistungen der DATEV eG durch Steuerberater oder Unternehmen) müssen an die neuen gesetzlichen Regelungen angepasst werden. Wichtig ist, den erweiterten Dokumentations- und Nachweispflichten der DS-GVO gerecht zu werden. Abweichend zur BDSG-Novelle 2009 können datenschutzrechtliche Vertragsgrundlagen zur Abwicklung der Auftragsdatenverarbeitung im elektronischen Format (z.B. via Zustimmung auf einer Internet-Seite) geschlossen werden.

Unternehmen und Kanzleien müssen sich mit dem neuen Datenschutzrecht auseinandersetzen. Datenverarbeitungsprozesse in Unternehmen und Kanzleien sind auf den Prüfstand zu stellen. So muss z.B. im Falle einer Datenpanne binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen (Art. 33 Abs. 1 DS-GVO). Die möglichen Betroffenen sind ebenfalls unverzüglich zu informieren (Art. 34 Abs. 1 DS-GVO). Um diesen Anforderungen gerecht zu werden, bedarf es organisatorischer Festlegungen, die sicherstellen, dass unmittelbar nach einem datenschutzrelevanten Vorfall, die gesetzlich geforderten Schritte erfolgen. So ist in einem ersten Schritt festzustellen, ob die aufgetretene Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Anschließend ist der Vorfall zu dokumentieren und der zuständigen Aufsichtsbehörde zu melden. Beispiele für relevante Vorfälle sind die BWA und / oder OPOS-Liste im Hausmüll und dann auf der Straße oder in den Händen des Müllverwerters. Sofern gegen die vorgenannten prozessualen Vorgaben verstoßen wird, beläuft sich der Bußgeldrahmen auf bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes der für die Datenverarbeitung verantwortlichen Stelle (Art. 83 Abs. 4 DS-GVO).

Die DS-GVO sieht erweiterte Rechenschafts- und Nachweispflichten vor (Art. 5 Abs. 2 DS-GVO). Diese haben unmittelbare Auswirkungen auf die Prozesse und Abläufe in Unternehmen und Kanzleien: Die verantwortliche Stelle muss nach Art. 5 Abs. 1 DS-GVO jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, z.B. auf Grundlage von Einwilligungen und Verträgen mit Kunden und Mandanten.

Grundsätzlich gilt wie bisher, dass die Erhebung und Verarbeitung personenbezogener Daten nur für bestimmte und festgelegte Zwecke beschränkt auf die zur Zweckerfüllung notwendigen Daten erfolgen darf. Des weiteren müssen Prozesse definiert werden, welche die unverzügliche Berichtigung und / oder Löschung unrichtiger Daten regeln.

Die Speicherung nicht mehr benötigter Daten ist ausdrücklich untersagt. Die DS-GVO begründet eine Nachweispflicht des Unternehmens oder der Kanzlei.

Sprechen Sie uns auf das überaus komplexe Thema Datenschutz an.

Rechner mit aktuellen Windows-Sicherheits-Updates sind besser vor Angriffen geschützt. Das hat sich bestätigt, als der Cryptowurm Wannacry weltweit in kürzester Zeit Hunderttausende Computer verschlüsselte.

Obwohl die meisten Menschen jedem Rückruf Ihres Automobils in die Werkstatt Folge leisten, sind die Nutzer von PCs und Servern bezüglich notwendiger Sicherheits-Updates weitaus zurückhaltender – mit zum Teil gravierenden Folgen.

Microsoft veröffentlicht regelmäßig Updates für seine Betriebssysteme, Programme und Systemkoponenten. Diese Updates beheben Fehler und Sicherheitslücken, die es Schadsoftware ermöglichen, auf die Systeme zu gelangen, Daten auszuspähen oder zu manipulieren. Auch aktuelle Virenscanner sind nicht immer in der Lage, einen ausreichenden Schutz vor Angriffen zu gewährleisten.

Daher ist es von essentieller Bedeutung, angebotene Sicherheits-Updates zeitnah zu installieren. Es sei denn, ebenfalls genutzte Software anderer Anbieter verfügt über geklärte oder zu klärende Inkompatibilitäten.

Hier empfiehlt es sich, mit dem jeweiligen Anbieter Kontakt aufzunehmen.

Auch wenn Kontinuität als Datenschutzbeauftragter und Datenschutzberater seit bereits 2004 unser „Markenzeichen“ ist, haben wir im Jahr 13 nach Aufnahme unserer Tätigkeit im Bereich Datenschutz und 10 Jahre nach Freischaltung unserer ersten Internet-Präsenz einen Relaunch unseres Auftrittes im World-Wide-Web an den Start gebracht.

Im Bereich „Aktuelles“, den Sie gerade geöffnet haben, finden Sie künftig aktuelle Nachrichten rund um Datenschutz, Ihre IT und unser Unternehmen.

Wir bieten Ihnen an dieser Stelle Gewohntes und Neues. So wie Sie uns seit 25 Jahren kennen.

Ihr

Oliver Luerweg

Der Diebstahl von Hardware und Daten versursacht die größten Schäden bei deutschen Unternehmen.

Verursacher sind vor allem ehemalige und im Beschäftigungsverhältnis stehende Mitarbeiter. 53 % deutscher Unternehmen sind nach einer repräsentativen Umfrage des Digitalverbands Bitkom in den vergangenen 24 Monaten Opfer von Sabotage, Spionage und Datendiebstahl geworden.

Die führende Tätergruppe stellen nach der Studie der Bitkom ausgeschiedene oder tätige Mitarbeiter dar. Ihr Anteil liegt bei 62 %. Auf diese Personengruppe folgen Wettbewerber, Kunden und Lieferanten mit einem Anteil von 41 %.

„Nur“ 7 % der Angriffe auf Unternehmensdaten sind der organisierten Kriminalität zuzurechnen. Auf ausländische Nachrichtendienste entfielen 3 % der Fälle.