Von Dr. Sebastian Kraska (Externer Datenschutzbeauftragter)
Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden, beispielsweise für Hosting, Gehaltsabrechnung oder für das Management der externen IT-Systeme. Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen.
Es empfiehlt sich daher, zu Beginn zu analysieren
welche Dritt-Dienstleister im Unternehmen eingesetzt werden (gerade bei größeren und global agierenden Unternehmen nimmt dieser Schritt meist mehrere Monate in Anspruch) und
welche vertraglichen Rahmenbedingungen mit den jeweiligen Dienstleistern bestehen. Häufig gibt es keine einheitlichen Vertragsstrukturen oder es wurden Dritt-Dienstleister ohne detaillierte Vertragsvorgaben beauftragt.
Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen. als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen.
Checkliste für den Einsatz von Dritt-Dienstleistern
Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:
Festlegung technischer/organisatorischer Mindeststandards und Audit-Möglichkeiten: es sollten Regelungen beinhaltet sein, welche technischen/organisatorischen Mindeststandards vom Dritt-Dienstleister erwartet werden. Ferner sollte vertraglich geklärt werden, in welcher Art und in welchem Umfang der Auftraggeber durch Auditierungen die Einhaltung dieser Vorgaben kontrollieren können kann.
Informationspflicht im Datenverlustfall: der Dritt-Dienstleister sollte verpflichtet werden, im Datenverlustfall unverzüglich den Auftraggeber zu informieren
Regelung zur Datenlöschung: es empfiehlt sich ferner eine vertragliche Vereinbarung zur Datenlöschung bei Beendigung der vertraglichen Beziehungen.
Einsatz von Unter-Auftragnehmern: in der Praxis bewährt hat sich zudem die Empfehlung, dass auch der Einsatz von Unter-Auftragnehmern durch den Dritt-Dienstleister vertraglich geregelt werden sollte.
Ort der Datenverarbeitung: aufgrund der unterschiedlichen Handhabe gerade hinsichtlich europäischer und außer-europäischer Dritt-Dienstleister empfiehlt sich ferner eine Festlegung im Vertrag hinsichtlich des Orts der Datenverarbeitung.
Interne Regelungen zur Datenlöschung
Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung, entlang der Leitfragen: "Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?"
Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt. Denn nicht mehr vorhandene Daten können nicht entwendet werden.
Zum anderen zwingt es das Unternehmen zu einer transparenten und damit effizienten Unternehmens-IT. Denn nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden. Und schließlich wird damit auch die IT-Infrastruktur im Unternehmen entlastet.
Interne technische und organisatorische Mindeststandards definieren
In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen(sverbund) festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden.
Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.
Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:
Regelung zur Passwortvergabe bei Neueinstellungen, dem Prozess zur Passwortänderung sowie die Festlegung einer bestimmten Passwortkomplexität. Dies kann häufig hinsichtlich der Windows-Systeme über zentrale Systemvorgaben im Active Directory erfolgen; die Regelung sollte aber auch den Zugriff auf ERP-Systeme etc. erfassen.
Sperrung von gestohlenen und verlorenen Geräten: Empfehlenswert ist ferner die Festlegung eines Prozesses, den Diebstahl bzw. den Verlust eines IT-Gerätes mitteilen zu können, um es gegebenenfalls sperren bzw. löschen zu können.
Einsatz von Verschlüsselungsverfahren: Unternehmen legen in der IT-Sicherheitsrichtlinie zudem häufig den Einsatz von Verschlüsselungsverfahren fest (Notebook-Verschlüsselung, externe Datenträger, E-Mail-Verschlüsselung, gesicherter FTP-Server etc.).
Umgang mit Papierunterlagen: die strengsten IT-Sicherheitsvorgaben laufen ins Leere, wenn ausgedruckte vertrauliche Unterlagen nicht datenschutzkonform verwahrt und vernichtet werden. Die IT-Sicherheitsrichtlinie sollte daher die Voraussetzungen zu einem datenschutzkonformen Umgang mit Papierunterlagen schaffen (verschließbare Schränke, Aufstellen von Datentonnen bzw. Shreddern etc.).
Etablierung des Erforderlichkeits-Prinzips bei der Vergabe von Zugriffsberechtigungen: Es sollte konzernweit festgelegt werden, dass die Zugriffsvergabe auf Daten nur in dem Umfang erfolgen sollte, in dem dies für die jeweilige Person zur Durchführung ihrer Aufgaben erforderlich ist.
Umgang mit Smartphones im Unternehmen: Häufig ist es zudem angeraten, in der IT-Sicherheitsrichtlinie auch Vorgaben zum Umgang mit Smartphones im Unternehmen zu treffen. Zu klären sind dabei Fragen wie: Ist der Einsatz privater Geräte gestattet? Dürfen betriebliche Smartphones auch zu privaten Zwecken eingesetzt werden?
Entwicklung einer"Datenschutz-Richtlinie"
Neben der IT-Sicherheitsrichtlinie lohnt sich häufig auch die Entwicklung einer "Datenschutz-Richtlinie". In dieser können die datenschutzrelevanten Prozesse in einem Unternehmen zusammengefasst werden. So können zum Beispiel die folgenden Bereiche erfasst werden:
Wer ist innerbetrieblich für welches Datenschutzthema in welcher Form verantwortlich (Geschäftsleitung, IT-Leitung, Vertriebsleitung, Datenschutzbeauftragter etc.)?
Welcher Prozess ist beim Einsatz neuer Dritt-Dienstleister einzuhalten? (Verwendung vertraglicher Standards; Absprache mit verantwortlichen Personen etc.).
Festlegung eines Prozesses zur Neueinführung von IT-Systemen.
Wie ist mit Auskunftsbegehren von Betroffenen umzugehen (Wer ist verantwortlich? Wer stellt welche Informationen zur Verfügung? Wer kommuniziert mit dem Betroffenen?).
Behandlung von Anfragen der Datenschutz-Aufsichtsbehörden (Wer ist zu informieren? Wer beantwortet das Schreiben?).
In welcher Form und in welchem Rhythmus sind die Beschäftigten hinsichtlich des sicheren Umgangs mit Daten und der unternehmensinternen Vorgaben zu schulen?
Umgang mit Datenpannen: wie kann ein möglicher Datenverlust erkannt werden und wer ist unternehmensintern in diesem Fall zu informieren?
Königsdisziplin "Datenschutz-Philosophie"
Als"Königsdisziplin" können Unternehmen zudem eine eigene Datenschutz-Philosophie zum betriebsinternen Umgang mit dem Thema Datenschutz entwickeln und schriftlich festhalten, wenn das Thema Datenschutz für das Unternehmen von besonderer Bedeutung ist - z.B. wenn besonders vertrauliche Daten verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten den Gegenstand des eigenen Geschäftsmodells bildet.
Eine solche Datenschutz-Philosophie kann zum Beispiel der Unterstützung des Vertriebs gegenüber den Kunden dienen oder zur Dokumentation des Umgangs mit dem Thema Datenschutz gegenüber Pressevertretern eingesetzt werden.
Fazit
Unternehmen die sich mit dem Thema Datenschutz auseinandersetzen, sollten gerade in Anbetracht der häufig unklaren Regelungslage einen Perspektivenwechsel vornehmen und sich die Frage stellen: Welche Maßnahmen machen aus Sicht des Unternehmens Sinn, um Informationen im Unternehmen zu schützen?
Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann. Datenschutz-Maßnahmen dienen nicht nur dem Schutz personenbezogener Daten sondern der Sicherung sämtlicher innerbetrieblicher Informationen.
Die in dem Beitrag dargestellten Vorschläge bilden einen Handlungsrahmen für konkrete Maßnahmen, die unabhängig von den jeweils geltenden datenschutzrechtlichen Regelungen im Eigeninteresse der Unternehmen verfolgt werden sollten. (rb)