Wirtschaftsmagazin der Industrie- und Handelskammer

 

Auftragsdatenverarbeitung im Griff


Sicher haben auch Sie in Ihrem Unternehmen den Datenschutz in Angriff genommen. Denn seit 2009 gibt es im Bereich Datenschutz viele Bußgeldtatbestände, wenn bestimmte Prozesse nicht oder nur mangelhaft datenschutzkonform umgesetzt werden.

Dies gilt auch für die Auftragsdatenverarbeitung, die auch einen Prüfschwerpunkt der Datenschutz-Aufsichtsbehörden darstellt. Bei Auftragsdatenver- arbeitung im Sinne des Bundesdatenschutzgesetzes handelt es sich um die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. Was bedeutet das? 

Die Produktionsprozesse oder Dienstleistungen vieler Firmen beruhen heute auf einem großen teilweise hochspezialisierten Datenfluss. Dabei werden große Teile der Datenverarbeitung an Dienstleister ausgelagert.  Beispiele dafür sind klassischerweise die Übertragung von Versandaufträgen (Lettershop) oder die Einschaltung von Callcentern, aber auch Dienstleister im Bereich Gehaltsabrechnung oder IT. Selbst Fernwartung kann darunter fallen, wenn personenbezogene Daten eingesehen werden können.   § 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind, um diese Datenflüsse zu legitimieren.  Zudem muss der Auftraggeber vor Vertragsschluss prüfen, ob der Dienstleister  mit seinen technisch-organisatorischen Maßnahmen bei der Datenverarbeitung ein angemessenes Schutzniveau bietet. Für die Vertragsgestaltung bieten die Datenschutz- aufsichtsbehörden und auch die Datenschutzverbände Mustervorlagen an. Bei der Prüfung der technisch-organisatorischen Maßnahmen herrscht aber in der Praxis große Unsicherheit. Anerkannte Standards lagen bisher nicht vor, sodass es oftmals zu langwierigen Auseinandersetzungen mit dem Dienstleister kam.

Zur Unterstützung der Firmen haben nun die beiden großen Datenschutzverbände, die Gesellschaft für Datenschutz und Datensicherheit (GDD) und der Berufsverband für Datenschutz und Datensicherheit  (BvD) einen gemeinsamen unabhängigen Datenschutzstandard speziell für die Auftrags- datenverarbeitung für alle Branchen und Dienstleistungen entwickelt, nach dem sich die Dienstleister zertifizieren lassen können. Für die Durchführung des Verfahrens, die Verwaltung und Erteilung der Zertifikate haben die Verbände eine neue Gesellschaft, die DSZ Datenschutz Zertifizierungsgesellschaft mbH, Bonn und Berlin gegründet. Diese wird auch die Zulassung und Überprüfung der Auditoren übernehmen. Wer mit diesem Datenschutzsiegel nach transparentem, nachprüfbarem und neutralem Standard zertifiziert ist, kann somit das gute Datenschutzmanagement nach außen dokumentieren und sich intensive Prüfungen durch Auftraggeber ersparen.

Kompetente Datenschutzdienstleister können Sie bei der Vorbereitung auf die Zertifizierung unterstützen. Unabhängig von diesem sehr speziellen Teilbereich (Auftragsdatenverarbeitung) bietet es sich an, das eigene Datenschutzmanagement von außen überprüfen zu lassen.

Text: Norbert Rauch
Der Autor ist IHK / GDD-ERFA-Kreis-Leiter in Würzburg,
sowie Inhaber des Datenschutzberatungsunternehmens
atarax GmbH & Co. KG

 

 

Wirtschaftsmagazin der Industrie- und Handelskammer

 

Wie sicher ist „bequem“ und „cool“ ?

 

Heiß diskutiert wurde derzeit in vielen Unternehmen das Thema „bring your own device“ (BYOD).

Dahinter verbirgt sich die Idee, dass der Arbeitnehmer sein privates mobiles Endgerät, etwa sein iPad, auch geschäftlich nutzt.

Als vorteilhaft aus Firmensicht stellt sich auf den ersten Blick die Tatsache dar, dass das Unternehmen kein Geld für die Anschaffung ausgeben muss und die Geräte länger halten, weil sie besser behandelt werden. Der Arbeitnehmer arbeitet umso motivierter, weil es für ihn angenehmer ist, sein eigenes Gerät nutzen zu dürfen. Dennoch gibt es einige Fallen, die man umgehen sollte, sofern man BYOD im eigenen Unternehmen umsetzen möchte. Denn lässt man dem Arbeitnehmer eine völlige Wahlfreiheit der Geräte, muss einem bewusst sein, dass ein erheblicher zusätzlicher Organisationsaufwand entsteht, um den Wildwuchs in der IT-Landschaft sicherheitstechnisch in den Griff zu bekommen, etwa im Bereich Verschlüsselung, Vierenschutz, Lizenzen, Programme, aktueller Stand der Technik oder technisch-organisatorische Maßnahmen gemäß Anlage zu § 9 BDSG.

Aber selbst wenn man einen Gerätetyp vorgibt, entsteht eine Vielzahl von (datenschutz)-rechtlichen Fragestellungen, die man bereits im Vorfeld geklärt haben sollte. Das Hauptproblem besteht darin, dass das mobile Gerät kein Betriebsmittel des Unternehmens ist, sondern Eigentum des jeweiligen Arbeitnehmers. Die auf dem Gerät erstellten und gespeicherten Unternehmensdaten sind jedoch Eigentum der Firma. Wenn das Unternehmen die Nutzung privater Geräte zu geschäftlichen Zwecken zulässt, muss dies im Bewusstsein geschehen, dass Einfluss- und Kontrollmöglichkeiten aus der Hand gegeben werden. Zum Teil kann dies durch rechtliche Regelungen wieder eingefangen werden. Dies ist aber natürlich nur in begrenztem Maße möglich, weil der Arbeitnehmer sich die Nutzung seines eigenen Gerätes nicht übermäßig vorschreiben lassen will, da es sonst für ihn nicht mehr attraktiv ist. Probleme können etwa entstehen, wenn sich der Arbeitnehmer weigert, erforderliche Software zu installieren oder einen bestimmten Datentarif für seinen Mobilfunkvertrag abzuschließen.

 
Abgrenzung zwischen privat und geschäftlich

Nicht nur im Hinblick auf die Eigentumsverhältnisse, sondern auch in Bezug auf die Nutzung des Gerätes muss eine Abgrenzung zwischen privat und geschäftlich von Anfang an klargestellt werden, etwa zu welchem Zeitpunkt und in welcher Intensität die private Nutzung erfolgen darf. Aufgrund der Nutzung des privaten Endgerätes im Alltag kann man nicht ausschließen, dass Unternehmensdaten in die Hände von Familienmitgliedern und Freunden des Arbeitnehmers geraten, sodass umso intensiver über Schutzmöglichkeiten für die Unternehmensdaten nachgedacht werden muss. Eine Containerlösung zum Schutz der Unternehmensdaten ist daher eine sinnvolle Vorgehensweise.

Unabdingbar sind auch vertragliche Regelungen bezüglich des Ersatzes, der Kosten bei Verlust oder Reparatur bzw. der Haftung für weitergehende Schäden. Auch die Eigentumsverhältnisse an den installierten Apps sowie der Umgang mit den Unternehmensdaten, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, müssen geregelt sein. Bei der Synchronisation der Daten über einen Cloud-Dienst ist zu beachten, dass ein ordnungsgemäßer Vertrag über Auftragsdatenverarbeitung abgeschlossen wird, da der Arbeitgeber sonst als Auftraggeber bußgeldpflichtig werden kann. Zudem sind insbesondere bei Datenübermittlungen in Nicht-EU-Staaten die datenschutzrechtlichen Probleme sehr komplex.

Die vertragliche Haftungsbegrenzung ist sehr aufwendig und es bleiben zahlreiche datenschutz- und sicherheitsrechtliche Risiken bestehen. Die Verwendung privater Endgeräte ist haftungsrechtlich nicht empfehlenswert. Wer trotzdem den Schritt wagt, muss sich vertraglich richtig absichern.

Text: Norbert Rauch
atarax GmbH & Co. KG

 

 



Wirtschaftsmagazin der Industrie- und Handelskammer

Kaum ein anderer Bereich der Information- stechnik ist derzeit mehr im Gespräch als die IT-Sicherheit - aber auch kein anderer Bereich wird mehr bagatellisiert, indem das Problem immer wieder auf die medienträchtigen Gefahren wie Viren, Trojanern und Co. reduziert wird.

IT-Sicherheit kostet Geld, ohne den Unternehmen einen unmittelbar, fassbaren Nutzen zu bringen. Das führt dazu, dass die Beschäftigung mit diesem Thema vor allem bei kleinen und mittleren Betrieben nur Alibi-Charakter hat. Dabei stellen viele mittelständische Unternehmen Spitzenprodukte her und sind häufig Marktführer in ihrem Segment. Der Schutz des erarbeiteten Marktvorsprungs durch entsprechende Sicherheitskonzepte wird aber vernachlässigt.

Jedoch verpflichten schon seit einiger Zeit auch rechtliche Vorschriften die Unternehmensleitungen zu Maßnahmen, um operationelle Risiken zu minimieren (z. B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG; GmbH-Gesetz). Wichtig ist dieses Thema zunehmend bei der Kreditvergabe: Beim Rating nach Basel II werden Sicherheitsfragen mit bewertet.

Wenn sich also in Unternehmen die Informationstechnik von der „besseren Schreibmaschine“ zum Produktionsfaktor gewandelt hat (und in den meisten Betrieben ist dies mittlerweile der Fall), dann muss diesem Umstand auch hinsichtlich Risikominimierung Rechnung getragen werden. Dies ist im ureigensten Interesse des Betriebes und gilt nicht nur, um Gesetzen Genüge zu tun. Und wahrscheinlich wird in Zukunft eine sichere Informationstechnik sogar eine unverzichtbare Vertrauensbasis im Verhältnis zwischen Kunden, Lieferanten und Partnern.
Sichere Informationstechnik quasi als echter Qualitätsfaktor und zunehmend auch als Wettbewerbsvorteil.

Was gilt es also zu tun ?

Es Bedarf einer strukturierten IT-Sicherheitskonzeption, wobei die IT-Sicherheit alle technischen und organisatorischen Maßnahmen umfasst, um Informationen vor Verlust und Verfälschung zu schützen und eine Störung des laufenden Betriebes zu verhindern. Darüber hinaus ist IT-Sicherheit unabdingbare Voraussetzung für einen adäquaten Datenschutz.

Gefahren gibt es viele. Im Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind alleine fünf Kataloge mit 333 möglichen Gefahrenquellen aufgeführt. Für die meisten Unternehmen ist davon sicher nur ein Teil relevant, aber welcher? Schon aus finanziellen Gründen muss das Ziel lauten, soviel Sicherheit wie nötig, so wenig Aufwand wie möglich. Das BSI wurde angesichts der zunehmenden Gefahren und Risiken der Informationsverarbeitung im Jahre 1991 gegründet und hatte zunächst die Aufgabe, die Sicherheitsrisiken von IT-Anwendungen zu beleuchten und Sicherheitsvorkehrungen zu entwickeln. Damit sollte und soll Vertrauen für die Informations- und Kommunikationstechnik geschaffen werden.

Darüber hinaus entwickelte das BSI zur Absicherung von Unternehmen und Behörden das sogenannte Grundschutzhandbuch. Ziel des Grundschutzhandbuches (GSHB) ist es, den sonst üblichen Aufwand bei Sicherheitskonzeptionen zu minimieren, indem in Teilbereichen auf die sonst üblichen und aufwendigen Risikoanalysen verzichtet und statt dessen auf vom BSI voranalysierte Gefährdungsszenarien und Gegenmaßnahmen zurückgegriffen werden kann. Eine Art Baukastenprinzip.

Zentraler Punkt ist dabei die Schutzbedarfsfeststellung, die korrespondierend mit dem Gefährdungskatalog die unternehmensspezifisch notwendigen Maßnahmen definiert. Dabei werden nur die Bausteine herangezogen, die für den jeweils zu schützenden Bereich wirklich notwendig sind.

Seit dem Jahre 2000 ist es auch möglich, die Umsetzung der Maßnahmen nach dem Grundschutzhandbuch durch vom BSI lizenzierte Sicherheitsauditoren zertifizieren zu lassen. Dabei handelt es sich um das derzeit einzige IT-Sicherheitszertifikat in Deutschland, mit dem die Solidität eines Unternehmens hinsichtlich IT-Sicherheit gegenüber Kunden, Partnern, Banken etc. nachgewiesen werden kann.

Die Entwicklung und die Umsetzung einer kompletten Sicherheitsstruktur für ein mittelständisches Unternehmen, das bisher über keine oder nur wenige Sicherheitsvorkehrungen verfügt, ist sicher eine Herausforderung, aber auch die ideale Aufgabe für einen Generalisten. Das BSI-Grundschutzhandbuch bietet dabei eine ideale Unterstützung um nicht Gefahr zu laufen, den Wald vor lauter Bäumen zu übersehen.

Bei aller Technik darf dabei natürlich eines nicht vergessen werden, der Faktor Mensch !

Was nützt die schönste Firewall, wenn die Anwender immer noch ihr Passwort unter die Tastatur kleben?! Ohne die Akzeptanz von Sicherheitsmaßnahmen in der Belegschaft bleibt jede noch so gute Schutzvorkehrung ohne Wirkung. Auch diese übergeordneten Aspekte berücksichtigt das BSI-Grundschutzhandbuch.

Letztendlich ist damit ein wichtiger Teil einer jeden Sicherheitskonzeption auch die Kunst, praktikable Sicherheitsregeln zu schaffen, deren Anwendung den Mitarbeitern einsichtig gemacht werden kann. Denn nur Regeln die akzeptiert und auch gelebt werden, tragen zur Erhöhung des Sicherheitsniveaus im Betrieb bei und bewirken eine Verbesserung der Durchhalte- und Überlebensfähigkeit eines Unternehmens.

Und um Illusionen vorzubeugen, IT-Sicherheit ist kein Projekt im üblichen Sinne und schon gar nicht eine einmalige Angelegenheit. Genaugenommen dauert ein IT-Sicherheitsprojekt solange, wie die Unternehmung besteht, zu deren Sicherheit das Projekt beizutragen hat.

atarax GmbH & Co. KG