Angesichts des offenen Ausgangs regulativer Vorgaben im europäischen Datenschutz werden wir häufig von Unternehmen zu der Frage kontaktiert, welche Maßnahmen man im Vorgriff auf etwaige gesetzliche Veränderungen unternehmensintern ergreifen könnte.
Als Antwort hierauf haben wir eine Reihe von Datenschutz-Themen identifiziert, die unabhängig von der Frage des anwendbaren Rechts und dessen Durchsetzbarkeit bereits aus unternehmerischen Eigeninteresse Beachtung finden sollten und die wir Ihnen im Folgenden vorstellen möchten.
Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden (Hosting, Gehaltsabrechnung, externe IT-Systeme etc.). Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen. Es empfiehlt sich daher, zu Beginn zu analysieren, welche Dritt-Dienstleister im Unternehmen eingesetzt werden (gerade bei größeren und global agierenden Unternehmen nimmt dieser Schritt zumeist mehrere Monate in Anspruch) und welche vertraglichen Rahmenbedingungen mit den jeweiligen Dienstleistern bestehen (häufig gibt es keine einheitlichen Vertragsstrukturen oder wurden Dritt-Dienstleister ohne detaillierte Vertragsvorgaben beauftragt).
Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln (als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen) und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen.
Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:
Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung (“Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?”). Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt (nicht mehr vorhandene Daten können nicht entwendet werden), zum anderen zwingt es das Unternehmen zu einer transparenten (und damit effizienten) Unternehmens-IT (nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden) und entlastet damit schließlich auch die IT-Infrastruktur im Unternehmen.
In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen oder einem Unternehmensverbund festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden. Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.
Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:
Neben der IT-Sicherheitsrichtlinie lohnt sich häufig auch die Entwicklung einer “Datenschutz-Richtlinie”. In dieser können die datenschutzrelevanten Prozesse in einem Unternehmen zusammengefasst werden. So können zum Beispiel die folgenden Bereiche erfasst werden:
Als “Königsdisziplin” können Unternehmen zudem eine eigene Datenschutz-Philosophie zum betriebsinternen Umgang mit dem Thema Datenschutz entwickeln und schriftlich festhalten, wenn das Thema Datenschutz für das Unternehmen von besonderer Bedeutung ist (zum Beispiel wenn besonders vertrauliche Daten verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten den Gegenstand des eigenen Geschäftsmodells bildet).
Eine solche Datenschutz-Philosophie kann zum Beispiel der Unterstützung des Vertriebs gegenüber den Kunden dienen oder zur Dokumentation des Umgangs mit dem Thema Datenschutz gegenüber Pressevertretern eingesetzt werden.
Unternehmen die sich mit dem Thema Datenschutz auseinandersetzen, sollten gerade in Anbetracht der häufig unklaren Regelungslage einen Perspektivenwechsel vornehmen und sich die Frage stellen: Welche Maßnahmen machen aus Sicht des Unternehmens Sinn, um Informationen im Unternehmen zu schützen? Die Praxis zeigt, dass das Thema “Datenschutz” keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann. Datenschutz-Maßnahmen dienen nicht nur dem Schutz personenbezogener Daten, sondern der Sicherung sämtlicher innerbetrieblicher Informationen. Die in dem Beitrag dargestellten Vorschläge bilden einen Handlungsrahmen für konkrete Maßnahmen, die unabhängig von den jeweils geltenden datenschutzrechtlichen Regelungen im Eigeninteresse der Unternehmen verfolgt werden sollten.
Bei weiteren Fragen zum Thema Datenschutz im Unternehmen wenden Sie sich bitte direkt an Herrn Dr. Kraska (erreichbar per Telefon unter 089-18 91 73 60 oder per E-Mail unter email@iitr.de).
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
View Comments
Ein ganz toller Beitrag; vielen Dank !
Leider werden die Risiken bislang nicht wahrgenommen und unterliegen somit auch keinem Risikomanagement, wie es Prüfer und Aufsicht seit Jahren fordern. Dies gilt gerade für KMUs. In größeren Institutionen hat sich ein IT-Risikomanagement inzwischen (erfolgreich ?) etabliert.
Zu den IT-Risiken zählen neben Compliance, Verträgen, IKS und Mitarbeiter insbesondere auch der Aspekt des "Datenschutzes". Der Datenschutz überdeckt die gesamte Risikopalette wie Compliance, Verträge ...
Trotzdem ist das Risiko "Datenschutz" - leider aufgrund der umfangreichen (sicherlich aber korrekten) Bestimmungen - nicht mit dem Satz in Verträgen zu Drittleistern "Sie haben das BDSG einzuhalten" abgetan. Dies gilt im Besonderen bei Auslagerungen in Clouds. Ich wirkte an der Erstellung entsprechender Verträge mit; wenn man den Datenschutz in Verträgen korrekt und vollständig umsetzen möchte, kann dies VIELE Seiten Umfang annehmen. Es lohnt sich aber. Auch das Prüfen externer Cloud-Verträge gehört zum IKS.
So hörte ich auch einmal die Aussage: "das aktuelle (!) BDSG wurde bislang nur in Bruchteilen der laufenden Auslagerungsverträge vollständig (!) umgesetzt". Hierzu bietet der Beitrag einen interessanten Ansatz zum Weiterdenken ...