Maßnahmen für die Praxis

Leitfaden zum Datenschutz in Unternehmen

26.02.2014 von Sebastian Kraska  IDG ExpertenNetzwerk
Die EU ringt derzeit um neue Regularien zum europäischen Datenschutz. Welche Maßnahmen Unternehmen schon im Vorfeld ergreifen sollten, erläutert Rechtsanwalt Dr. Sebastian Kraska.
Rechtsanwalt Dr. Sebastian Kraska von der IITR GmbH: "Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann"
Foto: IITR GmbH

Von Dr. Sebastian Kraska (Externer Datenschutzbeauftragter)

Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden, beispielsweise für Hosting, Gehaltsabrechnung oder für das Management der externen IT-Systeme. Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen.
Es empfiehlt sich daher, zu Beginn zu analysieren

Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen. als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen.

Checkliste für den Einsatz von Dritt-Dienstleistern

Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:

Interne Regelungen zur Datenlöschung

Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung, entlang der Leitfragen: "Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?"
Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt. Denn nicht mehr vorhandene Daten können nicht entwendet werden.
Zum anderen zwingt es das Unternehmen zu einer transparenten und damit effizienten Unternehmens-IT. Denn nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden. Und schließlich wird damit auch die IT-Infrastruktur im Unternehmen entlastet.

Interne technische und organisatorische Mindeststandards definieren

In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen(sverbund) festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden.
Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.

Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:

Datenschutz in Deutschland -
Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:
Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“
Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“
Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“
Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“

Entwicklung einer"Datenschutz-Richtlinie"

Neben der IT-Sicherheitsrichtlinie lohnt sich häufig auch die Entwicklung einer "Datenschutz-Richtlinie". In dieser können die datenschutzrelevanten Prozesse in einem Unternehmen zusammengefasst werden. So können zum Beispiel die folgenden Bereiche erfasst werden:

Königsdisziplin "Datenschutz-Philosophie"

Als"Königsdisziplin" können Unternehmen zudem eine eigene Datenschutz-Philosophie zum betriebsinternen Umgang mit dem Thema Datenschutz entwickeln und schriftlich festhalten, wenn das Thema Datenschutz für das Unternehmen von besonderer Bedeutung ist - z.B. wenn besonders vertrauliche Daten verarbeitet werden oder wenn die Verarbeitung personenbezogener Daten den Gegenstand des eigenen Geschäftsmodells bildet.

Eine solche Datenschutz-Philosophie kann zum Beispiel der Unterstützung des Vertriebs gegenüber den Kunden dienen oder zur Dokumentation des Umgangs mit dem Thema Datenschutz gegenüber Pressevertretern eingesetzt werden.

Fazit

Unternehmen die sich mit dem Thema Datenschutz auseinandersetzen, sollten gerade in Anbetracht der häufig unklaren Regelungslage einen Perspektivenwechsel vornehmen und sich die Frage stellen: Welche Maßnahmen machen aus Sicht des Unternehmens Sinn, um Informationen im Unternehmen zu schützen?
Die Praxis zeigt, dass das Thema "Datenschutz" keine reine Compliance-Angelegenheit darstellt, sondern häufig von strategischer Relevanz sein kann. Datenschutz-Maßnahmen dienen nicht nur dem Schutz personenbezogener Daten sondern der Sicherung sämtlicher innerbetrieblicher Informationen.
Die in dem Beitrag dargestellten Vorschläge bilden einen Handlungsrahmen für konkrete Maßnahmen, die unabhängig von den jeweils geltenden datenschutzrechtlichen Regelungen im Eigeninteresse der Unternehmen verfolgt werden sollten. (rb)

Zum Video: Leitfaden zum Datenschutz in Unternehmen